本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 中的数据保护 AWS Secrets Manager
<a name="data-protection"></a>

分 AWS [担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于中的数据保护 AWS Secrets Manager。如本模型所述 AWS ，负责保护运行所有内容的全球基础架构 AWS Cloud。您负责维护对托管在此基础架构上的内容的控制。此内容包括您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息，请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq)。有关欧洲数据保护的信息，请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。

出于数据保护目的，我们建议您保护 AWS 账户 凭证并使用 AWS Identity and Access Management (IAM) 设置个人用户账户。这仅向每个用户授予履行其工作职责所需的权限。我们还建议您通过以下方式保护数据：
+ 对每个账户使用[多重身份验证（MFA）](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users)。
+ 用于 SSL/TLS 与 AWS 资源通信。Secrets 在所有区域支持 TLS 1.2 和 1.3。Secrets Manager 还支持对传输层安全（TLS）网络加密协议使用混合[后量子密钥交换选项（PQTLS）](pqtls.md)。
+ 使用访问密钥 ID 和与 IAM 主体关联的秘密访问密钥来对以编程方式向 Secrets Manager 发出的请求进行签名。或者，您可以使用 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html)（AWS STS）生成临时安全凭证来对请求进行签名。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。请参阅[使用记录 AWS Secrets Manager 事件 AWS CloudTrail](monitoring-cloudtrail.md)。
+ 如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-2 验证的加密模块，请使用 FIPS 端点。请参阅[AWS Secrets Manager 端点](asm_access.md#endpoints)。
+ 如果你使用 AWS CLI 来访问 Secrets Manager，[降低使用存储 AWS Secrets Manager 密钥 AWS CLI 的风险](security_cli-exposure-risks.md).

## 静态加密
<a name="encryption-at-rest"></a>

Secrets Manager 使用通过 AWS Key Management Service (AWS KMS) 进行加密来保护静态数据的机密性。 AWS KMS 提供许多服务使用的密钥存储和加密 AWS 服务。Secrets Manager 中的每个密钥都使用唯一的数据密钥加密。每个数据密钥都由一个 KMS 密钥保护。您可以选择对账户使用 Secrets Manager AWS 托管式密钥 的默认加密，也可以在 AWS KMS中创建自己的客户托管密钥。使用客户托管密钥可让您对 KMS 密钥活动进行更精细的授权控制。有关更多信息，请参阅 [中的秘密加密和解密 AWS Secrets Manager](security-encryption.md)。

## 传输中加密
<a name="encryption-in-transit"></a>

Secrets Manager 为传输中的加密数据提供安全的私有端点。安全和私有端点 AWS 允许保护向 Secrets Manager 发出的 API 请求的完整性。 AWS 要求调用者使用 X.509 证书（Secrets Manager 私 and/or 有访问密钥）对 API 调用进行签名。[签名版本 4 签名流程](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) (Sigv4) 中阐述了此要求。

如果您使用 AWS Command Line Interface (AWS CLI) 或任何 AWS 软件开发工具包进行调用 AWS，则需要配置要使用的访问密钥。然后，这些工具会自动使用访问密钥为您签署请求。请参阅[降低使用存储 AWS Secrets Manager 密钥 AWS CLI 的风险](security_cli-exposure-risks.md)。

## Inter-network 交通隐私
<a name="inter-network-traffic-privacy"></a>

AWS 在通过已知和专用网络路由路由路由流量时，提供了维护隐私的选项。

**服务与本地客户端和应用之间的流量**  
您的私有网络和以下两种连接方式可供选择 AWS Secrets Manager：  
+ 一个 AWS Site-to-Site VPN 连接。有关更多信息，请参阅[什么是 AWS Site-to-Site VPN？](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+  AWS Direct Connect 连接。有关更多信息，请参阅[什么是 AWS Direct Connect？](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)

**同一区域内 AWS 资源之间的流量**  
如果你想在中保护 Secrets Manager 和 API 客户端之间的流量 AWS，请设置一个[AWS PrivateLink](https://aws.amazon.com/privatelink/)以私密方式访问 Secrets Manager API 端点。

## 加密密钥管理
<a name="encryption-key-management"></a>

当 Secrets Manager 需要加密受保护机密数据的新版本时，Secrets Manager 会向发送请求，要求从 KMS 密钥生成新的数据密钥。 AWS KMS Secrets Manager 使用此数据密钥进行[信封加密](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping)。Secrets Manager 将加密的数据密钥与加密的密钥储存在一起。当需要解密密密钥时，Secrets Manager 会要求 AWS KMS 解密数据密钥。然后，Secrets Manager 使用解密的数据密钥来解密加密的密钥。Secrets Manager 从不以未加密的形式存储数据密钥，并尽快从内存中删除密钥。有关更多信息，请参阅 [中的秘密加密和解密 AWS Secrets Manager](security-encryption.md)。