Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione dei segreti AWS migliori pratiche
Secrets Manager offre una serie di funzionalità di sicurezza da prendere in considerazione durante lo sviluppo e l'implementazione delle proprie politiche di sicurezza. Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Poiché queste best practice potrebbero non essere appropriate o sufficienti per l’ambiente, sono da considerare come considerazioni utili anziché prescrizioni.
**Topics**
+ [Archivia le credenziali e altre informazioni sensibili in Gestione dei segreti AWS](#best-practices-store-secrets-safely)
+ [Trova segreti non protetti nel tuo codice](#w2aab9b9)
+ [Scegli una chiave di crittografia per il tuo segreto](#w2aab9c11)
+ [Usa la memorizzazione nella cache per recuperare i segreti](#w2aab9c13)
+ [Rotazione dei segreti](#w2aab9c15)
+ [Riduci i rischi legati all'uso della CLI](#w2aab9c17)
+ [Limita l'accesso ai segreti](#w2aab9c19)
+ [Replica i segreti](#w2aab9c21)
+ [Monitorare i segreti](#w2aab9c23)
+ [Gestisci la tua infrastruttura su reti private](#w2aab9c25)
## Archivia le credenziali e altre informazioni sensibili in Gestione dei segreti AWS
Secrets Manager può contribuire a migliorare il livello di sicurezza e la conformità e a ridurre il rischio di accesso non autorizzato alle informazioni sensibili. Secrets Manager crittografa i segreti inattivi utilizzando chiavi di crittografia di cui l'utente è proprietario e in cui sono archiviate AWS Key Management Service (AWS KMS). Quando recuperate un segreto, Secrets Manager lo decripta e lo trasmette in modo sicuro tramite TLS al vostro ambiente locale. Per ulteriori informazioni, consulta [Crea un Gestione dei segreti AWS segreto](create_secret.md).
## Trova segreti non protetti nel tuo codice
CodeGuru Reviewer si integra con Secrets Manager per utilizzare un rilevatore di segreti che trova segreti non protetti nel codice. Il rilevatore di segreti cerca password codificate, stringhe di connessione al database, nomi utente e altro ancora. Per ulteriori informazioni, consulta [Trova segreti non protetti nel tuo codice con Amazon Reviewer CodeGuru](integrating-codeguru.md).
Amazon Q può scansionare la tua base di codice alla ricerca di vulnerabilità di sicurezza e problemi di qualità del codice per migliorare la postura delle tue applicazioni durante l'intero ciclo di sviluppo. Per ulteriori informazioni, consulta [Scansione del codice con Amazon Q](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/security-scans.html) nella *Amazon Q Developer User Guide*.
## Scegli una chiave di crittografia per il tuo segreto
Nella maggior parte dei casi, consigliamo di utilizzare la chiave `aws/secretsmanager` AWS gestita per crittografare i segreti. Il suo utilizzo non comporta alcun costo.
Per poter accedere a un segreto da un altro account o applicare una politica di chiave alla chiave di crittografia, utilizza una chiave gestita dal cliente per crittografare il segreto.
+ Nella politica della chiave, assegna il valore `secretsmanager..amazonaws.com` alla chiave di [https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service)condizione. Ciò limita l'uso della chiave solo alle richieste provenienti da Secrets Manager.
+ Per limitare ulteriormente l'uso della chiave solo alle richieste di Secrets Manager con il contesto corretto, utilizza chiavi o valori nel [contesto di crittografia Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html#security-encryption-encryption-context) come condizione per l'utilizzo della chiave KMS creando:
+ Un [operatore di condizione di tipo stringa](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String) in una policy IAM o in una policy chiave
+ Un [vincolo di concessione](https://docs.aws.amazon.com/kms/latest/APIReference/API_GrantConstraints.html) in una concessione
Per ulteriori informazioni, consulta [Crittografia e decrittografia segrete in Gestione dei segreti AWS](security-encryption.md).
## Usa la memorizzazione nella cache per recuperare i segreti
Per utilizzare i segreti nel modo più efficiente, si consiglia di utilizzare uno dei seguenti componenti di memorizzazione nella cache di Secrets Manager supportati per memorizzare nella cache i segreti e aggiornarli solo quando necessario:
+ [Java con memorizzazione nella cache lato client](retrieving-secrets_cache-java.md)
+ [Python con memorizzazione nella cache lato client](retrieving-secrets_cache-python.md)
+ [.NET con memorizzazione nella cache lato client](retrieving-secrets_cache-net.md)
+ [Scegli la memorizzazione nella cache lato client](retrieving-secrets_cache-go.md)
+ [Rust con memorizzazione nella cache lato client](retrieving-secrets_cache-rust.md)
+ [AWS Parametri e segreti: estensione Lambda](retrieving-secrets_lambda.md)
+ [Usa Gestione dei segreti AWS i segreti in Amazon Elastic Kubernetes Service](integrate_eks.md)
+ Utilizzalo [Utilizzo dell' Gestione dei segreti AWS agente](secrets-manager-agent.md) per standardizzare il consumo dei segreti di Secrets Manager in ambienti come AWS Lambda Amazon Elastic Container Service, Amazon Elastic Kubernetes Service e Amazon Elastic Compute Cloud.
## Rotazione dei segreti
Se non cambi i tuoi segreti per un lungo periodo di tempo, i segreti possono essere compromessi. Con Secrets Manager, puoi impostare la rotazione automatica ogni quattro ore. Secrets Manager offre due strategie di rotazione: [Utente singolo](rotation-strategy.md#rotating-secrets-one-user-one-password) e[Utenti alternati](rotation-strategy.md#rotating-secrets-two-users). Per ulteriori informazioni, consulta [Ruota i segreti Gestione dei segreti AWS](rotating-secrets.md).
## Riduci i rischi legati all'uso della CLI
Quando si utilizza il AWS CLI per richiamare AWS le operazioni, si immettono tali comandi in una shell di comando. La maggior parte delle shell di comando offre funzionalità che potrebbero compromettere i segreti dell'utente, come la registrazione e la possibilità di visualizzare l'ultimo comando immesso. Prima di utilizzare il AWS CLI per inserire informazioni riservate, assicuratevi di farlo. [Riduci i rischi derivanti dall'utilizzo di per archiviare i tuoi AWS CLI segreti Gestione dei segreti AWS](security_cli-exposure-risks.md)
## Limita l'accesso ai segreti
Nelle dichiarazioni politiche di IAM che controllano l'accesso ai tuoi segreti, utilizza il principio dell'[accesso con privilegi minimi](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege). Puoi utilizzare [i ruoli e le politiche IAM, le politiche](auth-and-access_iam-policies.md) [delle risorse](auth-and-access_resource-policies.md) e il [controllo degli accessi basato sugli attributi (ABAC](auth-and-access-abac.md)). Per ulteriori informazioni, consulta [Autenticazione e controllo degli accessi per Gestione dei segreti AWS](auth-and-access.md).
**Topics**
+ [Blocca l'ampio accesso ai segreti](#iam-contextkeys-blockpublicpolicy)
+ [Prestare attenzione alle condizioni degli indirizzi IP nelle politiche](#iam-contextkeys-ipaddress)
+ [Limita le richieste con le condizioni degli endpoint VPC](#iam-contextkeys-vpcendpoint)
### Blocca l'ampio accesso ai segreti
Nelle policy di identità che consentono l'operazione `PutResourcePolicy`, si consiglia di utilizzare `BlockPublicPolicy: true`. Con questa condizione gli utenti possono allegare una policy delle risorse a un segreto se tale policy non consente un accesso ampio.
Secrets Manager utilizza il ragionamento automatizzato di Zelkova per analizzare le policy delle risorse per un accesso ampio. Per ulteriori informazioni su Zelkova, vedi [Come AWS utilizza il ragionamento automatico per aiutarti a raggiungere la sicurezza su larga scala sul AWS Security](https://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/) Blog.
L'esempio seguente mostra come utilizzare `BlockPublicPolicy`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "secretsmanager:PutResourcePolicy",
"Resource": "arn:aws:secretsmanager:us-east-1:123456789012:secret:secretName-AbCdEf",
"Condition": {
"Bool": {
"secretsmanager:BlockPublicPolicy": "true"
}
}
}
}
```
------
### Prestare attenzione alle condizioni degli indirizzi IP nelle politiche
Fai attenzione quando specifichi gli [operatori di condizione con indirizzo IP](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) o la chiave di condizione `aws:SourceIp` nella stessa istruzione di policy che consente o rifiuta l'accesso a Secrets Manager. Ad esempio, se alleghi a un codice segreto una policy che limita AWS le azioni alle richieste provenienti dall'intervallo di indirizzi IP della rete aziendale, le tue richieste come utente IAM che richiama la richiesta dalla rete aziendale funzioneranno come previsto. Tuttavia, se abiliti altri servizi ad accedere al segreto per tuo conto, ad esempio quando abiliti la rotazione con una funzione Lambda, quella funzione richiama le operazioni di Secrets Manager da uno spazio di indirizzi AWS interno. Le richieste influenzate dalla policy con il filtro degli indirizzi IP non vanno a buon fine.
Inoltre, la chiave di condizione `aws:sourceIP` diventa meno efficace quando la richiesta proviene da un endpoint Amazon VPC. Per limitare le richieste a un determinato endpoint VPC, utilizza [Limita le richieste con le condizioni degli endpoint VPC](#iam-contextkeys-vpcendpoint).
### Limita le richieste con le condizioni degli endpoint VPC
Per consentire o negare l'accesso alle richieste provenienti da un determinato VPC o endpoint VPC, utilizza `aws:SourceVpc` per limitare l'accesso alle richieste dal VPC specificato o `aws:SourceVpce` per limitare l'accesso alle richieste dall'endpoint VPC specificato. Per informazioni, consulta [Esempio: autorizzazioni e VPCs](auth-and-access_resource-policies.md#auth-and-access_examples_vpc).
+ `aws:SourceVpc` limita l'accesso alle richieste dal VPC specificato.
+ `aws:SourceVpce` limita l'accesso alle richieste dall'endpoint VPC specificato.
Se si utilizzano queste chiavi di condizione in una istruzione di policy di risorsa che consente o rifiuta l'accesso ai segreti Secrets Manager puoi inavvertitamente negare l'accesso ai servizi che utilizzano Secrets Manager per accedere ai segreti a tuo nome. Solo alcuni AWS servizi possono essere eseguiti con un endpoint all'interno del tuo VPC. Se limiti le richieste di un segreto a un VPC o endpoint VPC, le chiamate a Secrets Manager da un servizio non configurato per il servizio possono non andare a buon fine.
Per informazioni, consulta [Utilizzo di un Gestione dei segreti AWS endpoint VPC](vpc-endpoint-overview.md).
## Replica i segreti
Secrets Manager può replicare automaticamente i tuoi segreti in più AWS regioni per soddisfare i tuoi requisiti di resilienza o disaster recovery. Per ulteriori informazioni, consulta [Replica i Gestione dei segreti AWS segreti in tutte le regioni](replicate-secrets.md).
## Monitorare i segreti
Secrets Manager consente di controllare e monitorare i segreti attraverso l'integrazione con i servizi AWS di registrazione, monitoraggio e notifica. Per ulteriori informazioni, consulta:
+ [Registra Gestione dei segreti AWS gli eventi con AWS CloudTrail](monitoring-cloudtrail.md)
+ [Monitora Gestione dei segreti AWS con Amazon CloudWatch](monitoring-cloudwatch.md)
+ [Monitora Gestione dei segreti AWS i segreti per la conformità utilizzando AWS Config](configuring-awsconfig-rules.md)
+ [Monitora i costi di Secrets Manager](monitor-secretsmanager-costs.md)
+ [Rileva le minacce con Amazon GuardDuty](monitoring-guardduty.md)
## Gestisci la tua infrastruttura su reti private
Consigliamo di eseguire la maggior parte delle infrastrutture su reti private non accessibili da Internet pubblico. È possibile stabilire una connessione privata tra il VPC e Secrets Manager creando un *endpoint VPC dell'interfaccia*. Per ulteriori informazioni, consulta [Utilizzo di un Gestione dei segreti AWS endpoint VPC](vpc-endpoint-overview.md).