Sicurezza e autorizzazioni - Gestione dei segreti AWS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Sicurezza e autorizzazioni

I segreti esterni gestiti non richiedono la condivisione dei privilegi a livello di amministratore degli account delle applicazioni di terze parti con. AWS Il processo di rotazione utilizza invece le credenziali e i metadati forniti dall'utente per effettuare chiamate API autorizzate all'applicazione di terze parti per l'aggiornamento e la convalida delle credenziali.

I segreti esterni gestiti mantengono gli stessi standard di sicurezza degli altri tipi di segreti di Secrets Manager. I valori segreti vengono crittografati quando sono inattivi utilizzando le chiavi KMS e in transito tramite TLS. L'accesso ai segreti è controllato tramite politiche IAM e politiche basate sulle risorse. Quando utilizzi una chiave gestita dal cliente per crittografare il tuo segreto, dovrai aggiornare la policy IAM relativa al ruolo di rotazione e la policy di fiducia CMK per fornire le autorizzazioni necessarie per garantire una rotazione di successo.

Affinché la rotazione funzioni correttamente, è necessario fornire a Secrets Manager autorizzazioni specifiche per gestire il ciclo di vita segreto. Queste autorizzazioni possono essere limitate a singoli segreti e seguire il principio del privilegio minimo. Il ruolo di rotazione fornito viene convalidato durante la configurazione e utilizzato esclusivamente per le operazioni di rotazione.

Gestione dei segreti AWS offre anche soluzioni single touch per creare la policy IAM con le autorizzazioni necessarie per gestire il segreto durante la creazione del segreto tramite la console Secrets Manager. Le autorizzazioni per questo ruolo sono limitate per ogni partner di integrazione in ogni regione.

Esempio di politica sulle autorizzazioni:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowRotationAccess",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:PutSecretValue",
        "secretsmanager:UpdateSecretVersionStage"
      ],
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "secretsmanager:resource/Type": "SalesforceClientSecret"
        }
      }
    },
    {
      "Sid": "AllowPasswordGenerationAccess",
      "Action": [
        "secretsmanager:GetRandomPassword"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Nota: l'elenco dei tipi di segreti disponibili per SecretsManager:Resource/type è disponibile in Integration Partners.

Esempio di politica di fiducia:

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "SecretsManagerPrincipalAccess",
      "Effect": "Allow",
      "Principal": {
        "Service": "secretsmanager.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:*"
        }
      }
    }
  ]
}