本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 中的資料保護 AWS Secrets Manager
AWS [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 中的資料保護 AWS Secrets Manager。如此模型所述, AWS 負責保護執行所有 的全域基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。此內容包括您所使用 AWS 服務 的安全組態和管理任務。如需有關資料隱私權的更多相關資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq)。如需有關歐洲資料保護的相關資訊,請參閱*AWS 安全性部落格*上的[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。
基於資料保護目的,我們建議您保護 AWS 帳戶 登入資料,並使用 AWS Identity and Access Management (IAM) 設定個別使用者帳戶。如此一來,每個使用者都只會獲得授予完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用[多重要素驗證 (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users)。
+ 使用 SSL/TLS 與 AWS 資源通訊。Secrets Manager 支援所有區域中的 TLS 1.2 和 1.3。Secrets Manager 也支援混合型[適用於 TLS (PQTLS) 的後量子金鑰交換選項](pqtls.md)網路加密通訊協定。
+ 使用存取金鑰 ID 和與 IAM 主體關聯的私密存取金鑰來簽署您對 Secrets Manager 的程式設計請求。或者,您可以使用 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) 來產生暫時性安全憑證以簽署請求。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。請參閱 [使用 記錄 AWS Secrets Manager 事件 AWS CloudTrail](monitoring-cloudtrail.md)。
+ 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-2 驗證的密碼編譯模組,請使用 FIPS 端點。請參閱 [AWS Secrets Manager 端點](asm_access.md#endpoints)。
+ 如果您使用 AWS CLI 存取 Secrets Manager,則為 [降低使用 AWS CLI 存放 AWS Secrets Manager 秘密的風險](security_cli-exposure-risks.md)。
## 靜態加密
Secrets Manager 透過 AWS Key Management Service (AWS KMS) 使用加密來保護靜態資料的機密性。 AWS KMS 提供許多 AWS 服務所使用的金鑰儲存和加密服務。Secrets Manager 中的每個秘密,都使用唯一資料金鑰加密。每個資料金鑰都由 KMS 金鑰保護。您可以選擇為該帳戶搭配 Secrets Manager AWS 受管金鑰 使用預設加密,或者可以在 AWS KMS中建立自己的客戶管理金鑰。使用客戶管理金鑰,可讓您更精細進行對 KMS 金鑰活動的授權控制。如需詳細資訊,請參閱[中的秘密加密和解密 AWS Secrets Manager](security-encryption.md)。
## 傳輸中加密
Secrets Manager 會提供安全且私有的端點,以供您加密傳輸中的資料。安全和私有端點允許 AWS 保護對 Secrets Manager 的 API 請求完整性。 AWS 要求發起人使用 X.509 憑證和/或 Secrets Manager 私密存取金鑰簽署 API 呼叫。[Signature 第 4 版簽署程序](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) (Sigv4) 規定了這項要求。
如果您使用 AWS Command Line Interface (AWS CLI) 或任何 AWS SDKs來呼叫 AWS,您可以設定要使用的存取金鑰。然後這些工具會自動使用存取金鑰來為您簽署請求。請參閱 [降低使用 AWS CLI 存放 AWS Secrets Manager 秘密的風險](security_cli-exposure-risks.md)。
## 網際網路流量隱私權
AWS 透過已知和私有網路路由路由流量時, 提供維護隱私權的選項。
**服務和內部部署用戶端與應用程式之間的流量。**
您的私有網路與 之間有兩個連線選項 AWS Secrets Manager:
+ An AWS Site-to-Site VPN 連接。如需詳細資訊,請參閱[什麼是 AWS Site-to-Site VPN?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ AWS Direct Connect 連線。如需詳細資訊,請參閱[什麼是 AWS Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
**相同區域中 AWS 資源之間的流量**
如果您想要保護 Secrets Manager 和 API 用戶端之間的流量 AWS,請設定 [AWS PrivateLink](https://aws.amazon.com/privatelink/) 以私密存取 Secrets Manager API 端點。
## 加密金鑰管理
當 Secrets Manager 需要加密新版本的受保護秘密資料時,Secrets Manager 會向 傳送請求 AWS KMS ,以從 KMS 金鑰產生新的資料金鑰。Secrets Manager 使用此資料金鑰進行[信封加密](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#enveloping)。Secrets Manager 會將加密的資料金鑰與加密的秘密一起存放。當秘密需要解密時,Secrets Manager AWS KMS 會要求解密資料金鑰。Secrets Manager 接著會使用已解密的資料金鑰來解密加密的秘密。Secrets Manager 絕不會以未加密的形式存放資料金鑰,而且會盡快將其從記憶體中移除。如需詳細資訊,請參閱[中的秘密加密和解密 AWS Secrets Manager](security-encryption.md)。