Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menggunakan rahasia eksternal yang AWS Secrets Manager dikelola untuk mengelola rahasia Pihak Ketiga
Rahasia eksternal terkelola adalah jenis rahasia baru AWS Secrets Manager yang memungkinkan Anda menyimpan dan memutar kredensyal secara otomatis dari mitra integrasi. Fitur ini menghilangkan kebutuhan untuk membuat dan memelihara AWS Lambda fungsi khusus untuk memutar rahasia mitra integrasi. Untuk daftar lengkap semua mitra onboard, lihat Mitra [Integrasi](mes-partners.md).
Saat Anda membangun aplikasi AWS, beban kerja Anda sering kali perlu berinteraksi dengan aplikasi pihak ketiga melalui kredensi aman seperti kunci API, OAuth token, atau pasangan kredensi. Sebelumnya, Anda harus mengembangkan pendekatan khusus untuk mengamankan dan mengelola kredensional ini, termasuk membangun fungsi Lambda rotasi kompleks yang unik untuk setiap aplikasi dan membutuhkan pemeliharaan berkelanjutan.
Rahasia eksternal terkelola menyediakan pendekatan standar untuk menyimpan kredensyal pihak ketiga dalam format yang telah ditentukan sebelumnya yang ditentukan oleh masing-masing mitra. Fitur ini mencakup rotasi otomatis yang diaktifkan (secara default di konsol) selama pembuatan rahasia, transparansi lengkap dan kontrol pengguna untuk alur kerja manajemen rahasia, dan set fitur lengkap yang ditawarkan oleh Secrets Manager termasuk manajemen izin halus, observabilitas, tata kelola, kepatuhan, pemulihan bencana, dan kontrol pemantauan.
## Fitur utama
Rahasia eksternal yang dikelola menawarkan beberapa kemampuan utama yang menyederhanakan manajemen kredensyal pihak ketiga:
+ **Rotasi terkelola bebas Lambda** menghilangkan overhead untuk membuat dan mengelola fungsi rotasi khusus. Saat Anda membuat eksternal, rotasi diaktifkan secara otomatis tanpa fungsi Lambda yang diterapkan di akun Anda.
+ **Format rahasia yang telah ditentukan** memastikan bahwa rahasia dapat dikaitkan dengan benar dengan mitra integrasi dan menyertakan metadata yang diperlukan untuk rotasi. Setiap mitra mendefinisikan format yang diperlukan.
+ **Ekosistem mitra terintegrasi** memberikan dukungan untuk beberapa mitra melalui proses orientasi standar. Mitra berintegrasi langsung dengan Secrets Manager untuk menawarkan panduan terprogram untuk pembuatan rahasia dan kemampuan rotasi terkelola.
+ **Auditabilitas lengkap** mempertahankan transparansi penuh melalui AWS CloudTrail pencatatan untuk semua aktivitas rotasi, pembaruan nilai rahasia, dan operasi manajemen.
# Rahasia eksternal yang dikelola Mitra
Secrets Manager terintegrasi secara native dengan aplikasi pihak ketiga untuk memutar rahasia yang dipegang oleh mitra. Setiap mitra mendefinisikan metadata dan bidang nilai rahasia yang diperlukan untuk memutar rahasia.
Nilai rahasia berisi bidang yang diperlukan untuk menghubungkan dengan klien pihak ketiga Anda dan disimpan selama [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)panggilan. Metadata rotasi memegang bidang yang digunakan untuk memperbarui rahasia selama rotasi dan digunakan dalam panggilan. [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html) Bidang ini akan ditentukan oleh mitra integrasi untuk memungkinkan aliran rotasi terkelola.
Agar rotasi berfungsi dengan baik, Anda harus memberikan Secrets Manager izin khusus untuk mengelola siklus hidup rahasia. Untuk informasi selengkapnya lihat [Keamanan dan Izin](mes-security.md)
Topik berikut mencakup deskripsi masing-masing bidang metadata yang diperlukan untuk memutar rahasia serta deskripsi masing-masing bidang yang diperlukan dalam rahasia Secrets Manager untuk diputar.
**Topik**
| Mitra Integrasi | Jenis rahasia |
| --- | --- |
| Salesforce | [SalesforceClientSecret](mes-partner-salesforce.md) |
| BigID | [IDClientRahasia Besar](mes-partner-BigId.md) |
| Kepingan salju | [SnowflakeKeyPairAuthentication](mes-partner-Snowflake.md) |
# Rahasia Klien Salesforce
## Bidang Nilai Rahasia
Berikut ini adalah bidang-bidang yang harus dimuat dalam rahasia Secrets Manager:
```
{
"consumerKey": "client ID",
"consumerSecret": "client secret",
"baseUri": "https://domain.my.salesforce.com",
"appId": "app ID",
"consumerId": "consumer ID"
}
```
consumerKey
Kunci konsumen, juga dikenal sebagai ID klien, adalah pengidentifikasi kredensyal untuk kredensi OAuth 2.0. Anda dapat mengambil kunci konsumen langsung dari pengaturan Manajer Aplikasi Klien Eksternal Salesforce. OAuth
consumerSecret
Rahasia konsumen, juga dikenal sebagai rahasia klien, adalah kata sandi pribadi yang digunakan dengan kunci konsumen untuk mengautentikasi menggunakan alur kredensi klien OAuth 2.0. Anda dapat mengambil rahasia konsumen langsung dari pengaturan Manajer Aplikasi Klien Eksternal Salesforce.. OAuth
baseUri
URI dasar adalah URL dasar Org Salesforce Anda yang digunakan untuk berinteraksi dengan Salesforce. APIs Ini mengambil bentuk contoh berikut:`https://domainName.my.salesforce.com`.
appId
App ID adalah pengenal untuk Salesforce External Client Application (ECA) Anda. Anda dapat mengambil ini dengan memanggil titik akhir Penggunaan Salesforce OAuth . Itu harus dimulai dengan `0x` dan hanya berisi karakter alfanumerik. [Bidang ini mengacu pada external\$1client\$1app\$1identifier dalam panduan rotasi Salesforce.](https://help.salesforce.com/s/articleView?id=xcloud.eca_stage_oauth_credentials.htm&type=5)
ConsumerID
ID konsumen adalah pengenal untuk konsumen Salesforce External Client Application (ECA) Anda. Anda dapat mengambilnya dengan memanggil titik akhir Salesforce OAuth Credentials by App ID. Bidang ini mengacu pada consumer\$1id dalam panduan rotasi [Salesforce](https://help.salesforce.com/s/articleView?id=xcloud.eca_stage_oauth_credentials.htm&type=5).
## Bidang Metadata Rahasia
Berikut ini adalah bidang metadata yang diperlukan untuk memutar rahasia yang dipegang oleh Salesforce.
```
{
"apiVersion": "v65.0",
"adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:SalesforceClientSecret"
}
```
apiVersion
Versi API Salesforce adalah versi API organisasi Salesforce Anda. Versi harus setidaknya v65.0. Itu harus dalam format di `vXX.X` mana `X` adalah karakter numerik.
adminSecretArn
(Opsional) Rahasia admin ARN adalah Nama Sumber Daya Amazon (ARN) untuk rahasia yang berisi OAuth kredenal administratif yang digunakan untuk memutar rahasia klien Salesforce ini. Minimal rahasia admin harus berisi nilai ConsumerKey dan ConsumerSecret dalam struktur rahasia. Ini adalah bidang opsional dan jika dihilangkan, selama rotasi Secrets Manager akan menggunakan OAuth kredensi dalam rahasia ini untuk mengautentikasi dengan Salesforce.
## Aliran Penggunaan
Pelanggan yang menyimpan Rahasia Salesforce AWS Secrets Manager memiliki opsi untuk memutar rahasia dengan kredenal yang disimpan dalam rahasia yang sama atau menggunakan kredensional dalam rahasia Admin untuk rotasi. Anda dapat membuat rahasia Anda menggunakan [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)panggilan dengan nilai rahasia yang berisi bidang yang disebutkan di atas dan tipe rahasia sebagai SalesforceClientSecret. Konfigurasi rotasi dapat diatur menggunakan [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)panggilan. Panggilan ini memerlukan spesifikasi bidang metadata seperti pada contoh di atas - Jika Anda memilih rotasi menggunakan kredensional dalam rahasia yang sama, Anda dapat melewati bidang tersebut. adminSecretArn Selain itu, pelanggan harus memberikan peran ARN dalam [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)panggilan yang memberikan layanan izin yang diperlukan untuk memutar rahasia. Untuk contoh kebijakan izin, lihat [Keamanan dan Izin](mes-security.md).
Untuk pelanggan yang memilih untuk memutar rahasia mereka menggunakan serangkaian kredensional terpisah (disimpan dalam Rahasia Admin), pastikan untuk membuat Rahasia Admin dalam AWS Secrets Manager mengikuti langkah yang sama persis dengan rahasia konsumen Anda. Anda harus memberikan ARN Rahasia Admin ini dalam metadata rotasi dalam [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)panggilan untuk rahasia konsumen Anda.
Logika rotasi mengikuti panduan yang diberikan oleh Salesforce.
# Token Penyegaran ID Besar
## Bidang Nilai Rahasia
Berikut ini adalah bidang-bidang yang harus dimuat dalam rahasia Secrets Manager:
```
{
"hostname": "Host Name",
"refreshToken": "Refresh Token"
}
```
hostname
Ini adalah nama host tempat instance BiGid Anda di-host. Anda harus memasukkan nama domain yang sepenuhnya memenuhi syarat dari instans Anda.
RefreshToken
Token penyegaran pengguna JWT yang dihasilkan di Konsol BiGid melalui Administrasi → Manajemen Akses → Pilih Pengguna → Hasilkan Token → Simpan
## Aliran Penggunaan
Anda dapat membuat rahasia Anda menggunakan [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)panggilan dengan nilai rahasia yang berisi bidang yang disebutkan di atas dan tipe rahasia sebagai IDClient Rahasia Besar. Konfigurasi rotasi dapat diatur menggunakan [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)panggilan. Anda juga harus memberikan peran ARN dalam [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)panggilan yang memberikan layanan izin yang diperlukan untuk memutar rahasia. Misalnya kebijakan izin, lihat [Keamanan dan Izin](mes-security.md). Perhatikan bahwa bidang metadata rotasi dapat dibiarkan kosong untuk mitra ini.
# Pasangan Kunci Kepingan Salju
## Bidang Nilai Rahasia
Berikut ini adalah bidang-bidang yang harus dimuat dalam rahasia Secrets Manager:
```
{
"account": "Your Account Identifier",
"user": "Your user name",
"privateKey": "Your private Key",
"publicKey": "Your public Key",
"passphrase": "Your Passphrase"
}
```
user
Nama pengguna Snowflake yang terkait dengan otentikasi pasangan kunci ini. Pengguna ini harus dikonfigurasi di Snowflake untuk menerima otentikasi pasangan kunci, dan kunci publik harus ditetapkan ke profil pengguna ini.
akun
Pengidentifikasi akun Snowflake Anda digunakan untuk membuat koneksi. Ini dapat diekstraksi dari URL Snowflake Anda (bagian sebelum.snowflakecomputing.com)
privateKey
Kunci pribadi RSA dalam format PEM digunakan untuk otentikasi. BEGIN/END Spidol bersifat opsional.
PublicKey
Mitra kunci publik dalam format PEM sesuai dengan kunci pribadi. BEGIN/END Spidol bersifat opsional.
frasa sandi
(Opsional) Bidang ini mengacu pada frasa sandi yang digunakan untuk mendekripsi kunci pribadi terenkripsi.
## Bidang Metadata Rahasia
Berikut ini adalah bidang metadata untuk Snowflake:
```
{
"cryptographicAlgorithm": "Your Cryptographic algorithm",
"encryptPrivateKey": "True/False"
}
```
Algoritma Kriptografi
(Opsional) Ini mengacu pada algoritma yang digunakan untuk pembuatan kunci. Anda memiliki 3 pilihan algoritma:`RS256|RS384|RS512`. Bidang ini opsional dan algoritme default yang dipilih adalah RS256.
encryptPrivateKey
(Opsional) Bidang ini dapat digunakan untuk memilih apakah Anda ingin mengenkripsi kunci pribadi Anda. Nilainya secara default salah. Frasa sandi untuk enkripsi dihasilkan secara acak.
## Aliran Penggunaan
Anda dapat membuat rahasia Anda menggunakan [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)panggilan dengan nilai rahasia yang berisi bidang yang disebutkan di atas dan tipe rahasia sebagai SnowflakeKeyPairAuthentication. Konfigurasi rotasi dapat diatur menggunakan [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)panggilan. Anda dapat secara opsional memberikan bidang metadata rahasia berdasarkan kebutuhan Anda. Anda juga harus memberikan peran ARN dalam [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)panggilan yang memberikan layanan izin yang diperlukan untuk memutar rahasia. Misalnya kebijakan izin, lihat [Keamanan dan Izin](mes-security.md). Perhatikan bahwa bidang metadata rotasi dapat dibiarkan kosong untuk mitra ini.
# Keamanan dan izin
Rahasia eksternal yang dikelola tidak mengharuskan Anda untuk berbagi hak istimewa tingkat admin dari akun aplikasi pihak ketiga Anda. AWS Sebagai gantinya, proses rotasi menggunakan kredensi dan metadata yang Anda berikan untuk melakukan panggilan API resmi ke aplikasi pihak ketiga untuk pembaruan dan validasi kredensi.
Rahasia eksternal yang dikelola mempertahankan standar keamanan yang sama dengan jenis rahasia Secrets Manager lainnya. Nilai rahasia dienkripsi saat istirahat menggunakan kunci KMS Anda dan dalam perjalanan menggunakan TLS. Akses ke rahasia dikendalikan melalui kebijakan IAM dan kebijakan berbasis sumber daya. Saat menggunakan Kunci yang Dikelola Pelanggan untuk mengenkripsi rahasia Anda, Anda perlu memperbarui kebijakan IAM tentang peran rotasi dan kebijakan kepercayaan CMK untuk memberikan izin yang diperlukan untuk memastikan rotasi berhasil.
Agar rotasi berfungsi dengan baik, Anda harus memberikan Secrets Manager izin khusus untuk mengelola siklus hidup rahasia. Izin ini dapat dicakup ke rahasia individu dan mengikuti prinsip hak istimewa paling sedikit. Peran rotasi yang Anda berikan divalidasi selama penyiapan dan digunakan secara eksklusif untuk operasi rotasi.
Anda dapat membatasi masuknya IP ke sumber daya eksternal Anda dengan hanya mengizinkan [rentang AWS IP](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html) untuk EC2 di wilayah tempat rahasia Anda ada. Daftar rentang IP ini dapat berubah sehingga Anda harus me-refresh aturan ingress Anda secara berkala.
AWS Secrets Manager juga menawarkan solusi sentuhan tunggal untuk membuat kebijakan IAM dengan izin yang diperlukan untuk mengelola rahasia saat membuat rahasia melalui konsol Secrets Manager. Izin untuk peran ini dicakup untuk setiap mitra integrasi di setiap wilayah.
**Contoh Kebijakan Izin:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowRotationAccess",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue",
"secretsmanager:UpdateSecretVersionStage"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"secretsmanager:resource/Type": "SalesforceClientSecret"
}
}
},
{
"Sid": "AllowPasswordGenerationAccess",
"Action": [
"secretsmanager:GetRandomPassword"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
[Catatan: Daftar tipe rahasia yang tersedia untuk SecretsManager:Resource/Type dapat ditemukan di Mitra Integrasi.](mes-partners.md)
**Contoh Kebijakan Kepercayaan:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SecretsManagerPrincipalAccess",
"Effect": "Allow",
"Principal": {
"Service": "secretsmanager.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:*"
}
}
}
]
}
```
# Memantau dan memecahkan masalah rahasia eksternal yang dikelola
Rahasia eksternal terkelola menyediakan kemampuan pemantauan komprehensif melalui AWS CloudTrail log dan CloudWatch metrik Amazon. Semua aktivitas rotasi dicatat dengan informasi terperinci tentang keberhasilan, kegagalan, dan kesalahan apa pun yang ditemui selama proses.
Masalah umum dalam alur kerja rotasi termasuk konfigurasi izin peran yang salah atau nilai rahasia. Kegagalan untuk mengatur bidang ini adalah format yang ditentukan oleh mitra integrasi dapat menyebabkan kegagalan rotasi, karena layanan tidak akan dapat mengakses rahasia atau terhubung dengan klien mitra integrasi untuk memperbarui rahasia. Masalah lainnya bisa berupa masalah konektivitas jaringan, kedaluwarsa kredensyal, atau ketersediaan layanan mitra. Layanan rotasi terkelola mencakup logika coba ulang dan penanganan kesalahan untuk memaksimalkan keandalan
Anda dapat memantau jadwal rotasi, tingkat keberhasilan, dan metrik kinerja melalui Amazon. CloudWatch Anda dapat mengonfigurasi alarm khusus melalui [jembatan acara](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html) untuk mengingatkan Anda tentang kegagalan rotasi atau masalah lain yang memerlukan perhatian.
# Migrasi rahasia yang ada
Anda memiliki opsi untuk memigrasikan rahasia mitra yang ada ke rahasia eksternal yang dikelola. Ini bisa dilakukan dengan [UpdateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecret.html)panggilan. Anda harus memperbarui nilai rahasia dan metadata seperti yang disebutkan dalam panduan. Jika Anda sudah memiliki logika rotasi khusus yang disiapkan untuk rahasia ini, Anda harus terlebih dahulu membatalkan rotasi menggunakan [CancelRotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CancelRotateSecret.html)panggilan.
# Pertimbangan dan batasan
Rahasia eksternal yang dikelola tidak mendukung rahasia fana dengan rentang hidup kurang dari empat jam. Rahasia yang terkait dengan sertifikat infrastruktur kunci publik juga tidak didukung.
Rahasia eksternal yang dikelola hanya didukung untuk mitra yang telah bergabung dengan. AWS Secrets Manager Untuk daftar lengkapnya, lihat [Mitra Integrasi](mes-partners.md). Tidak melihat pasangan Anda dalam daftar? [Beritahu mereka untuk Onboard untuk AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/mes-onboarding/secrets-manager-mes-onboarding.html)
Jika Anda memperbarui atau memutar nilai rahasia langsung dari layanan klien mitra di luar mesin rotasi Secrets Manager, sinkronisasi antar sistem dapat rusak. Meskipun Secrets Manager menyediakan peringatan konsol dan pencegahan terprogram untuk pembaruan nilai rahasia manual, Anda masih dapat memodifikasi nilai secara langsung di aplikasi pihak ketiga Anda. Untuk membangun kembali sinkronisasi setelah out-of-band pembaruan, Anda harus memperbarui nilai rahasia untuk mencerminkan rahasia yang benar dan kemudian memanggil [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)API untuk memastikan rotasi sukses berkelanjutan.