Безопасное хранение конфиденциальных данных
Менеджер секретов AWS выполняет шифрование конфиденциальных данных при хранении с помощью принадлежащих пользователю ключей шифрования, которые хранятся в Сервисе управления ключами AWS (AWS KMS).
- При извлечении конфиденциальных данных Менеджер секретов дешифрует их и передает по безопасному соединению TLS в локальную среду пользователя.
- Менеджер секретов интегрируется с Управлением идентификацией и доступом AWS (IAM) для контроля за доступом к конфиденциальным данным с помощью точно настроенных политик сервиса и политик на основе ресурсов.
Автоматическая ротация конфиденциальных данных без нарушения работы приложений
Благодаря Менеджеру секретов AWS можно осуществлять ротацию конфиденциальных данных по расписанию или по требованию с помощью консоли Менеджера секретов, AWS SDK или интерфейса командной строки AWS.
- Менеджер секретов по умолчанию поддерживает ротацию данных пользователей для доступа к БД, размещенной на Amazon RDS и Amazon DocumentDB, и кластерам, размещенным на Amazon Redshift.
- Чтобы осуществлять ротацию секретов, используемых с другими сервисами AWS или 3P, можно расширить функциональные возможности Менеджера секретов, изменив предоставленные образцы функций Lambda.
Автоматическая репликация конфиденциальных данных в несколько регионов AWS
С помощью Менеджера секретов AWS можно автоматически реплицировать конфиденциальные данные в несколько регионов AWS, чтобы обеспечить соответствие вашим уникальным требованиям к аварийному восстановлению и межрегиональной избыточности. Укажите регионы AWS, в которых нужно создать реплики конфиденциальных данных, и Менеджер секретов безопасно создаст региональные реплики для чтения, устраняя необходимость в обслуживании сложного решения, предназначенного для этой цели. Вы можете предоставить вашим межрегиональным приложениям доступ к реплицированным конфиденциальным данным в требуемых регионах, а Менеджер секретов будет синхронизировать их с основным экземпляром конфиденциальных данных.
Программное извлечение конфиденциальных данных
Создавайте приложения, уделяя особое внимание безопасности конфиденциальных данных.
- Менеджер секретов предоставляет образцы кода для вызова API Менеджера секретов на распространенных языках программирования. Существует два типа API для получения конфиденциальных данных.
- Получите одну единицу конфиденциальных данных по имени или ARN.
- Получите группу конфиденциальных данных, предоставив список имен или ARN либо критерии фильтрации, такие как теги.
- Настройте адреса виртуального частного облака (VPC) таким образом, чтобы трафик между VPC и Менеджером секретов не выходил за пределы сети AWS.
- Кроме того, вы можете использовать библиотеки кэширования Менеджера секретов на стороне клиента для оптимизации доступности и уменьшения задержки во время извлечения секретов.
Аудит и мониторинг использования конфиденциальных данных
Менеджер секретов AWS позволяет осуществлять аудит и мониторинг конфиденциальных данных благодаря интеграции с сервисами AWS для ведения журналов, мониторинга и уведомлений. Например, после включения AWS CloudTrail для соответствующего региона AWS можно проверить, когда выполняется создание или ротация конфиденциальных данных, просмотрев журналы AWS CloudTrail. Аналогичным образом можно настроить Amazon CloudWatch, чтобы с помощью Amazon Simple Notification Service получать сообщения электронной почты, если конфиденциальные данные не используются в течение определенного периода времени, или настроить Amazon CloudWatch Events, чтобы получать push-уведомления при ротации конфиденциальных данных сервисом Secrets Manager.
Соответствие требованиям
Вы можете использовать Менеджер секретов AWS для обеспечения соответствия нормативным требованиям.
- Используйте правила AWS Config, чтобы убедиться в том, что ваши секреты настроены в соответствии с требованиями вашей организации к безопасности и с соблюдением нормативных актов.
- Управляйте секретами для рабочих нагрузок, на которые распространяется действие Руководства по соблюдению требований к безопасности Министерства обороны США для облачных вычислений (DoD CC SRG IL2, DoD CC SRG IL4 и DoD CC SRG IL5), Федеральной программы управления рисками и авторизацией (FedRAMP), Акта о передаче и защите данных учреждений здравоохранения США (HIPAA), Программы зарегистрированных экспертов по оценке систем информационной безопасности (IRAP), Отчета об аудиторской проверке стороннего поставщика сервисов (OSPAR), стандартов ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018 и ISO 9001, Стандарта безопасности данных индустрии платежных карт (PCI-DSS) или System and Organization Control (SOC).
- Просмотрите подробные сведения о программе соответствия AWS и отчет в AWS Artifact.
Интеграция Менеджера секретов
Сервисы AWS интегрируются с Менеджером секретов для безопасного управления учетными данными. Благодаря этим интеграциям вы можете безопасно обмениваться учетными данными с различными сервисами AWS. Учетные данные, хранящиеся в Менеджере секретов, шифруются либо с помощью ключей KMS, управляемых AWS, либо с помощью ключей, управляемых клиентом. Менеджер секретов регулярно осуществляет ротацию секретов для обеспечения высокого уровня безопасности. После сохранения конфиденциальных данных в Менеджере секретов вы сможете предоставлять сервисам AWS их номера ARN вместо мандатов в обычном текстовом формате.
Интегрированные сервисы
Alexa для бизнеса
AWS App2Container
Amazon AppFlow
AWS AppSync
Amazon Athena
AWS CodeBuild
AWS Direct Connect
Сервис каталогов AWS
Amazon DocumentDB (совместимость с MongoDB)
AWS Elemental MediaLive
AWS Elemental MediaConnect
AWS Elemental MediaConvert
Ответственный за проверку Amazon CodeGuru
AWS Elemental MediaPackage
AWS Elemental MediaTailor
Amazon EMR
Amazon EventBridge
Amazon FSx
AWS Glue DataBrew
AWS Glue Studio
AWS IoT SiteWise
Amazon Kendra
Мастер запуска AWS
Amazon Lookout для метрики
Управляемая потоковая передача Amazon для Apache Kafka (Amazon MSK)
Управляемые рабочие процессы Amazon для Apache Airflow (Amazon MWAA)
Центр миграции AWS
AWS OpsWorks для Chef Automate
Служба реляционных баз данных Amazon (Amazon RDS)
Amazon Redshift
Редактор запросов Amazon Redshift версии 2
Amazon SageMaker
Набор инструментов AWS для JetBrains
Семейство для пересылки файлов AWS