Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Gunakan AWS Secrets Manager untuk perlindungan data untuk alur kerja C2C

AWS Secrets Manager adalah layanan penyimpanan rahasia yang dapat Anda gunakan untuk melindungi kredensi database, kunci API, dan informasi rahasia lainnya. Kemudian dalam kode Anda, Anda dapat mengganti kredensi hardcode dengan panggilan API ke Secrets Manager. Ini membantu memastikan bahwa rahasia tidak dapat dikompromikan oleh seseorang yang memeriksa kode Anda, karena rahasianya tidak ada. Untuk ikhtisar, lihat Panduan AWS Secrets Manager Pengguna.

Secrets Manager mengenkripsi rahasia menggunakan AWS Key Management Service kunci. Untuk informasi selengkapnya, lihat Enkripsi rahasia dan dekripsi di. AWS Key Management Service

Integrasi terkelola untuk AWS IoT Device Management terintegrasi AWS Secrets Manager sehingga Anda dapat menyimpan data di Secrets Manager dan menggunakan ID rahasia dalam konfigurasi Anda.

Bagaimana integrasi terkelola menggunakan rahasia

Open Authorization (OAuth) adalah standar terbuka untuk otorisasi akses yang didelegasikan, memungkinkan pengguna untuk memberikan situs web atau aplikasi akses ke informasi mereka di situs web lain tanpa membagikan kata sandi mereka. Ini adalah cara aman bagi aplikasi pihak ketiga untuk mengakses data pengguna atas nama pengguna, memberikan alternatif yang lebih aman untuk berbagi kata sandi.

Dalam OAuth, ID klien dan rahasia klien adalah kredensil yang mengidentifikasi dan mengautentikasi aplikasi klien ketika meminta token akses.

Integrasi terkelola untuk AWS IoT Device Management penggunaan OAuth untuk berkomunikasi dengan pelanggan yang menggunakan alur kerja C2C. Pelanggan perlu memberikan ID klien dan rahasia klien untuk berkomunikasi. Integrasi terkelola pelanggan akan menyimpan ID klien dan rahasia klien di AWS akun mereka, dan integrasi terkelola membaca ID klien dan rahasia klien di akun pelanggan kami.

Cara membuat rahasia

Untuk membuat rahasia, ikuti langkah-langkah di Buat AWS Secrets Manager rahasia di Panduan AWS Secrets Manager Pengguna.

Anda harus membuat rahasia Anda dengan AWS KMS kunci yang dikelola pelanggan untuk integrasi terkelola untuk membaca nilai rahasia. Untuk informasi selengkapnya, lihat Izin untuk AWS KMS kunci di Panduan AWS Secrets Manager Pengguna.

Anda juga harus menggunakan kebijakan IAM di bagian berikut.

Berikan akses untuk integrasi terkelola AWS IoT Device Management untuk mengambil rahasia

Untuk memungkinkan integrasi terkelola mengambil nilai rahasia dari Secrets Manager, sertakan izin berikut dalam kebijakan sumber daya untuk rahasia saat Anda membuatnya.

JSON

{
  "Version":"2012-10-17",		 	 	 
  "Statement" : [ {
    "Effect" : "Allow",
    "Principal" : {
      "Service" : "iotmanagedintegrations.amazonaws.com"
    },
    "Action" : [ "secretsmanager:GetSecretValue" ],
    "Resource" : "*" ,
    "Condition": {
        "StringEquals": {
          "aws:SourceArn": "arn:aws:iotmanagedintegrations:AWS Region:account-id:account-association:account-association-id"
        
        }
      }
  } ]
}

Tambahkan pernyataan berikut ke kebijakan untuk kunci yang dikelola pelanggan AWS KMS .

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Principal": {
                "Service": [
                    "iotmanagedintegrations.amazonaws.com"
                ]
            },
            "Resource": [
            "arn:aws:kms:us-east-1:123456789012:key/*"
            ]
        }

    ]
}