Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Le migliori pratiche di crittografia per Gestione dei segreti AWS
Con Gestione dei segreti AWS puoi sostituire le credenziali nel codice,incluse le password, con una chiamata API a Secrets Manager in modo da recuperare il segreto a livello di codice. Secrets Manager si integra con AWS KMS per crittografare ogni versione di ogni valore segreto con una chiave dati unica protetta da un. AWS KMS key Questa integrazione protegge i segreti archiviati con chiavi di crittografia che non rimangono mai crittografate AWS KMS . Puoi anche definire autorizzazioni personalizzate sulla chiave KMS per controllare le operazioni che generano, crittografano e decrittano le chiavi di dati che proteggono i segreti archiviati. Per ulteriori informazioni consulta la sezione Crittografia e decrittografia dei segreti in Gestione dei segreti AWS.
Prendi in considerazione le seguenti best practice di crittografia per questo servizio:
-
Nella maggior parte dei casi, consigliamo di utilizzare la chiave
aws/secretsmanagerAWS gestita per crittografare i segreti. Il suo utilizzo è gratuito. -
Per poter accedere a un segreto da un altro account o applicare una politica di chiave alla chiave di crittografia, utilizza una chiave gestita dal cliente per crittografare il segreto.
-
Nella policy chiave, assegna il valore
secretsmanager.<region>.amazonaws.com.rproxy.govskope.caalla chiave kms: ViaService condition. Ciò limita l'uso della chiave solo alle richieste provenienti da Secrets Manager. -
Per limitare ulteriormente l'uso della chiave solo alle richieste di Secrets Manager con il contesto corretto, utilizza chiavi o valori nel contesto di crittografia Secrets Manager come condizione per l'utilizzo della chiave KMS creando:
-
Un operatore di condizione di tipo stringa in una policy IAM o in una policy chiave
-
Un vincolo di concessione in una concessione
-
-
