As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Use AWS Secrets Manager para proteção de dados para fluxos de trabalho C2C

AWS Secrets Manager é um serviço de armazenamento secreto que você pode usar para proteger credenciais de banco de dados, chaves de API e outras informações secretas. Em Seguida, no seu código, é possível substituir credenciais codificadas por uma chamada de API para o Secrets Manager. Isso ajuda a garantir que o segredo não possa ser comprometido por alguém que esteja examinando seu código, pois o segredo não está ali. Para obter uma visão geral, consulte o Guia do usuário do AWS Secrets Manager.

O Secrets Manager criptografa segredos usando AWS Key Management Service chaves. Para obter mais informações, consulte Criptografia e descriptografia de dados no AWS Key Management Service.

Integrações gerenciadas para AWS IoT Device Management integrações para que você possa armazenar seus dados no Secrets Manager e usar o ID secreto em suas configurações. AWS Secrets Manager

Como as integrações gerenciadas usam segredos

A Autorização Aberta (OAuth) é um padrão aberto para autorização de acesso delegado, permitindo que os usuários concedam aos sites ou aplicativos acesso às suas informações em outros sites sem compartilhar suas senhas. É uma forma segura de aplicativos de terceiros acessarem os dados do usuário em nome do usuário, fornecendo uma alternativa mais segura ao compartilhamento de senhas.

Em OAuth, um ID de cliente e um segredo de cliente são credenciais que identificam e autenticam um aplicativo cliente quando ele solicita um token de acesso.

Integrações gerenciadas para AWS IoT Device Management usuários se OAuth comunicarem com clientes que usam os fluxos de trabalho C2C. Os clientes precisam fornecer o ID e o segredo do cliente para se comunicarem. Os clientes de integrações gerenciadas armazenarão um ID e um segredo do cliente em suas AWS contas, e as integrações gerenciadas lerão o ID e o segredo do cliente em nossa conta de cliente.

Como criar um segredo

Para criar um segredo, siga as etapas em Criar um AWS Secrets Manager segredo no Guia do AWS Secrets Manager usuário.

Você deve criar seu segredo com uma AWS KMS chave gerenciada pelo cliente para que as integrações gerenciadas leiam o valor secreto. Para obter mais informações, consulte Permissões para a AWS KMS chave no Guia AWS Secrets Manager do usuário.

Você também deve usar as políticas do IAM na seção a seguir.

Conceda acesso a integrações gerenciadas AWS IoT Device Management para recuperar o segredo

Para permitir que as integrações gerenciadas recuperem o valor secreto do Secrets Manager, inclua as seguintes permissões na política de recursos para o segredo ao criá-lo.

JSON

{
  "Version":"2012-10-17",		 	 	 
  "Statement" : [ {
    "Effect" : "Allow",
    "Principal" : {
      "Service" : "iotmanagedintegrations.amazonaws.com"
    },
    "Action" : [ "secretsmanager:GetSecretValue" ],
    "Resource" : "*" ,
    "Condition": {
        "StringEquals": {
          "aws:SourceArn": "arn:aws:iotmanagedintegrations:AWS Region:account-id:account-association:account-association-id"
        
        }
      }
  } ]
}

Adicione a seguinte declaração à política da sua chave gerenciada pelo cliente AWS KMS .

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Principal": {
                "Service": [
                    "iotmanagedintegrations.amazonaws.com"
                ]
            },
            "Resource": [
            "arn:aws:kms:us-east-1:123456789012:key/*"
            ]
        }

    ]
}