As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS Secrets Manager melhores práticas
O Secrets Manager oferece uma série de atributos de segurança a serem considerados no desenvolvimento e na implementação das suas próprias políticas de segurança. As melhores práticas a seguir são diretrizes gerais e não representam uma solução completa de segurança. Como essas práticas recomendadas podem não ser adequadas ou suficientes para o seu ambiente, trate-as como considerações úteis em vez de prescrições.
**Topics**
+ [Armazene credenciais e outras informações confidenciais em AWS Secrets Manager](#best-practices-store-secrets-safely)
+ [Encontre segredos desprotegidos em seu código](#w2aab9b9)
+ [Escolha uma chave de criptografia para o seu segredo](#w2aab9c11)
+ [Use o armazenamento em cache para recuperar segredos](#w2aab9c13)
+ [Alternar segredos do](#w2aab9c15)
+ [Reduza os riscos decorrentes do uso da CLI](#w2aab9c17)
+ [Limite o acesso aos segredos](#w2aab9c19)
+ [Replique os segredos](#w2aab9c21)
+ [Monitorar segredos](#w2aab9c23)
+ [Execute sua infraestrutura em redes privadas](#w2aab9c25)
## Armazene credenciais e outras informações confidenciais em AWS Secrets Manager
O Secrets Manager ajuda a melhorar sua postura de segurança e conformidade, além de reduzir o risco de acesso não autorizado às informações confidenciais. O Secrets Manager criptografa segredos em repouso usando chaves de criptografia que você possui e armazena em AWS Key Management Service (AWS KMS). Quando você recupera um segredo, o Secrets Manager decodifica o segredo e o transmite com segurança via TLS para seu ambiente local. Para obter mais informações, consulte [Crie um AWS Secrets Manager segredo](create_secret.md).
## Encontre segredos desprotegidos em seu código
CodeGuru O Reviewer se integra ao Secrets Manager para usar um detector de segredos que encontra segredos desprotegidos em seu código. O detector de segredos pesquisa senhas diretamente codificadas, cadeias de conexão de banco de dados, nomes de usuário e muito mais. Para obter mais informações, consulte [Encontre segredos desprotegidos em seu código com o Amazon Reviewer CodeGuru](integrating-codeguru.md).
O Amazon Q pode varrer sua base de código em busca de vulnerabilidades de segurança e problemas de qualidade de código para melhorar a postura de suas aplicações durante todo o ciclo de desenvolvimento. Para obter mais informações, consulte [Varredura do seu código com o Amazon Q](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/security-scans.html) no *Guia do usuário do Amazon Q Developer*.
## Escolha uma chave de criptografia para o seu segredo
Na maioria dos casos, recomendamos usar a chave `aws/secretsmanager` AWS gerenciada para criptografar segredos. Não há custo para seu uso.
Para poder acessar um segredo de outra conta ou aplicar uma política de chaves à chave de criptografia, use uma chave gerenciada pelo cliente para criptografar o segredo.
+ Na política de chaves, atribua o valor `secretsmanager..amazonaws.com` à chave de condição [https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service). Isso limita o uso da chave somente às solicitações do Secrets Manager.
+ Para limitar ainda mais o uso da chave somente a solicitações do Secrets Manager com o contexto correto, use chaves ou valores no [contexto de criptografia do Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html#security-encryption-encryption-context) como condição para usar a chave do KMS, criando:
+ Um [operador de condição de string](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String) em uma política do IAM ou política de chave
+ Uma [restrição de concessão](https://docs.aws.amazon.com/kms/latest/APIReference/API_GrantConstraints.html) em uma concessão
Para obter mais informações, consulte [Criptografia e decodificação secretas em AWS Secrets Manager](security-encryption.md).
## Use o armazenamento em cache para recuperar segredos
Para usar seus segredos com mais eficiência, recomendamos que você use um dos seguintes componentes de cache com suporte do Secrets Manager para armazenar seus segredos em cache e atualizá-los somente quando necessário:
+ [Java com armazenamento em cache no lado do cliente](retrieving-secrets_cache-java.md)
+ [Python com armazenamento em cache no lado do cliente](retrieving-secrets_cache-python.md)
+ [.NET com armazenamento em cache no lado do cliente](retrieving-secrets_cache-net.md)
+ [Go com armazenamento em cache no lado do cliente](retrieving-secrets_cache-go.md)
+ [Rust com armazenamento em cache no lado do cliente](retrieving-secrets_cache-rust.md)
+ [AWS Parâmetros e segredos da extensão Lambda](retrieving-secrets_lambda.md)
+ [Use AWS Secrets Manager segredos no Amazon Elastic Kubernetes Service](integrate_eks.md)
+ Use [Usando o AWS Secrets Manager agente](secrets-manager-agent.md) para padronizar o consumo de segredos do Secrets Manager em ambientes como AWS Lambda Amazon Elastic Container Service, Amazon Elastic Kubernetes Service e Amazon Elastic Compute Cloud.
## Alternar segredos do
Se você não alterar o segredos por um longo período, eles se tornam mais propensos a ser comprometidos. Com o Secrets Manager, é possível configurar alternância automática com intervalos a partir de quatro horas. O Secrets Manager oferece duas estratégias de alternância: [Usuário único](rotation-strategy.md#rotating-secrets-one-user-one-password) e [Usuários alternados](rotation-strategy.md#rotating-secrets-two-users). Para obter mais informações, consulte [Gire segredos AWS Secrets Manager](rotating-secrets.md).
## Reduza os riscos decorrentes do uso da CLI
Ao usar as AWS operações AWS CLI para invocar, você insere esses comandos em um shell de comando. A maioria dos shells de comando oferece atributos que podem comprometer seus segredos, como o registro log e a capacidade de ver o último comando digitado. Antes de usar a AWS CLI para inserir informações confidenciais, certifique-se sobre [Mitigue os riscos de usar o AWS CLI para armazenar seus segredos AWS Secrets Manager](security_cli-exposure-risks.md).
## Limite o acesso aos segredos
Em declarações de política do IAM que controlem o acesso aos seus segredos, use o princípio de [acesso de privilégio mínimo](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege). É possível usar [políticas e perfis do IAM](auth-and-access_iam-policies.md), [políticas de recursos](auth-and-access_resource-policies.md) e [controle de acesso por atributo (ABAC)](auth-and-access-abac.md). Para obter mais informações, consulte [Autenticação e controle de acesso para AWS Secrets Manager](auth-and-access.md).
**Topics**
+ [Bloqueie o acesso amplo aos segredos](#iam-contextkeys-blockpublicpolicy)
+ [Tenha cuidado com as condições de endereço IP nas políticas](#iam-contextkeys-ipaddress)
+ [Limite solicitações com condições do endpoint da VPC](#iam-contextkeys-vpcendpoint)
### Bloqueie o acesso amplo aos segredos
Em políticas de identidade que permitem a ação `PutResourcePolicy`, recomendamos usar `BlockPublicPolicy: true`. Essa condição significa que os usuários só poderão anexar uma política de recursos a um segredo se a política não permitir acesso amplo.
O Secrets Manager usa o raciocínio automatizado Zelkova para analisar políticas de recursos para acesso amplo. Para obter mais informações sobre Zelkova, consulte [Como AWS usa o raciocínio automatizado para ajudar você a obter segurança em grande escala no](https://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/) AWS Blog de Segurança.
O exemplo a seguir mostra como usar `BlockPublicPolicy`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "secretsmanager:PutResourcePolicy",
"Resource": "arn:aws:secretsmanager:us-east-1:123456789012:secret:secretName-AbCdEf",
"Condition": {
"Bool": {
"secretsmanager:BlockPublicPolicy": "true"
}
}
}
}
```
------
### Tenha cuidado com as condições de endereço IP nas políticas
Tome cuidado ao especificar os [operadores de condição do endereço IP](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_IPAddress) ou a chave de condição `aws:SourceIp` em uma declaração de política que permite ou nega acesso ao Secrets Manager. Por exemplo, se você anexar uma política que restringe AWS ações às solicitações do intervalo de endereços IP da sua rede corporativa a um segredo, suas solicitações como usuário do IAM que invoca a solicitação da rede corporativa funcionarão conforme o esperado. No entanto, se você permitir que outros serviços acessem o segredo em seu nome, como ao ativar a rotação com uma função Lambda, essa função chamará as operações do Secrets Manager a partir de um espaço AWS de endereço interno. As solicitações afetadas pela política com o filtro de endereços IP falharão.
Além disso, a chave de condição `aws:sourceIP` é menos efetiva quando a solicitação se origina em um endpoint da Amazon VPC. Para restringir solicitações a um endpoint da VPC específico, use [Limite solicitações com condições do endpoint da VPC](#iam-contextkeys-vpcendpoint).
### Limite solicitações com condições do endpoint da VPC
Para conceder ou negar acesso a solicitações de uma determinada VPC ou de um endpoint da VPC, use `aws:SourceVpc` para limitar o acesso a solicitações da VPC especificada ou `aws:SourceVpce` para limitar o acesso a solicitações do endpoint da VPC especificado. Consulte [Exemplo: permissões e VPCs](auth-and-access_resource-policies.md#auth-and-access_examples_vpc).
+ `aws:SourceVpc` limita o acesso a solicitações da VPC especificado.
+ `aws:SourceVpce` limita o acesso a solicitações do endpoint da VPC especificado.
Se você usar essas chaves de condição em uma declaração de política de recurso que permite ou nega o acesso a segredos do Secrets Manager, poderá inadvertidamente negar acesso a serviços que usam o Secrets Manager para acessar segredos em seu nome. Somente alguns AWS serviços podem ser executados com um endpoint em sua VPC. Se você restringir as solicitações de um segredo a uma VPC ou a um endpoint da VPC, poderão ocorrer falhas nas chamadas para o Secrets Manager de um serviço não configurado para o serviço.
Consulte [Usando um AWS Secrets Manager VPC endpoint](vpc-endpoint-overview.md).
## Replique os segredos
O Secrets Manager pode replicar automaticamente seus segredos em várias AWS regiões para atender aos seus requisitos de resiliência ou recuperação de desastres. Para obter mais informações, consulte [Replique AWS Secrets Manager segredos em todas as regiões](replicate-secrets.md).
## Monitorar segredos
O Secrets Manager permite auditar e monitorar segredos por meio da integração com serviços de AWS registro, monitoramento e notificação. Para obter mais informações, consulte:
+ [AWS Secrets Manager Registre eventos com AWS CloudTrail](monitoring-cloudtrail.md)
+ [Monitore AWS Secrets Manager com a Amazon CloudWatch](monitoring-cloudwatch.md)
+ [Monitore AWS Secrets Manager segredos para verificar a conformidade usando AWS Config](configuring-awsconfig-rules.md)
+ [Monitorar custos do Secrets Manager](monitor-secretsmanager-costs.md)
+ [Detecte ameaças com a Amazon GuardDuty](monitoring-guardduty.md)
## Execute sua infraestrutura em redes privadas
Sempre que possível, recomendamos que você execute o máximo da infraestrutura em redes privadas que não sejam acessíveis pela Internet pública. É possível estabelecer uma conexão privada entre a sua VPC e o Secrets Manager criando um *interface VPC endpoint* (Endpoint da VPC de interface). Para obter mais informações, consulte [Usando um AWS Secrets Manager VPC endpoint](vpc-endpoint-overview.md).