Keamanan dan izin - AWS Secrets Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan dan izin

Rahasia eksternal yang dikelola tidak mengharuskan Anda untuk berbagi hak istimewa tingkat admin dari akun aplikasi pihak ketiga Anda. AWS Sebagai gantinya, proses rotasi menggunakan kredensi dan metadata yang Anda berikan untuk melakukan panggilan API resmi ke aplikasi pihak ketiga untuk pembaruan dan validasi kredensi.

Rahasia eksternal yang dikelola mempertahankan standar keamanan yang sama dengan jenis rahasia Secrets Manager lainnya. Nilai rahasia dienkripsi saat istirahat menggunakan kunci KMS Anda dan dalam perjalanan menggunakan TLS. Akses ke rahasia dikendalikan melalui kebijakan IAM dan kebijakan berbasis sumber daya. Saat menggunakan Kunci yang Dikelola Pelanggan untuk mengenkripsi rahasia Anda, Anda perlu memperbarui kebijakan IAM tentang peran rotasi dan kebijakan kepercayaan CMK untuk memberikan izin yang diperlukan untuk memastikan rotasi berhasil.

Agar rotasi berfungsi dengan baik, Anda harus memberikan Secrets Manager izin khusus untuk mengelola siklus hidup rahasia. Izin ini dapat dicakup ke rahasia individu dan mengikuti prinsip hak istimewa paling sedikit. Peran rotasi yang Anda berikan divalidasi selama penyiapan dan digunakan secara eksklusif untuk operasi rotasi.

AWS Secrets Manager juga menawarkan solusi sentuhan tunggal untuk membuat kebijakan IAM dengan izin yang diperlukan untuk mengelola rahasia saat membuat rahasia melalui konsol Secrets Manager. Izin untuk peran ini dicakup untuk setiap mitra integrasi di setiap wilayah.

Contoh Kebijakan Izin:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowRotationAccess",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:PutSecretValue",
        "secretsmanager:UpdateSecretVersionStage"
      ],
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "secretsmanager:resource/Type": "SalesforceClientSecret"
        }
      }
    },
    {
      "Sid": "AllowPasswordGenerationAccess",
      "Action": [
        "secretsmanager:GetRandomPassword"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Catatan: Daftar tipe rahasia yang tersedia untuk SecretsManager:Resource/Type dapat ditemukan di Mitra Integrasi.

Contoh Kebijakan Kepercayaan:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "SecretsManagerPrincipalAccess",
      "Effect": "Allow",
      "Principal": {
        "Service": "secretsmanager.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:*"
        }
      }
    }
  ]
}