AWS Secrets Manager 中的数据保护

AWS Secrets Manager 符合 AWS 责任共担模式，该模式包含适用于数据保护的法规和准则。AWS 负责保护运行所有 AWS 服务的全球基础设施。AWS 保持对该基础设施上托管的数据的控制，包括用于处理客户内容和个人数据的安全配置控制。作为数据控制者或数据处理者，AWS 客户和 APN 合作伙伴对他们放在 AWS 云中的任何个人数据承担责任。

出于数据保护目的，我们建议您保护 AWS 账户凭证并使用 AWS Identity and Access Management (IAM) 设置各个用户账户，以便仅向每个用户提供履行工作职责所需的权限。

静态加密

Secrets Manager 使用加密通过 AWS Key Management Service (kms)保护静态数据的机密性。 AWSKMS提供了许多 AWS 服务。 AWS Secrets Manager 将每个秘密与 AWS 公共卫生硕士客户主密钥 (CMK)。关联的 CMK 可以是账户的默认 Secrets Manager CMK，您也可以创建您自己的 CMK。有关创建 CMK 的其他信息，请参阅 Secrets Manager 如何使用 AWS KMS。

传输中加密

Secrets Manager 提供安全的私有终端节点，以用于加密传输中的数据。通过安全的私有终端节点，AWS 可以保护向 Secrets Manager 发出的 API 请求的完整性。AWS 要求调用方使用 X.509 证书和/或 AWS Secrets Manager 秘密访问密钥对 API 调用进行签名。签名版本 4 签名流程 (Sigv4) 中阐述了此要求。

如果您使用 AWS 命令行界面 (CLI) 或任何 AWS 软件开发工具包调用 AWS，那么这些工具会自动使用指定的访问密钥对请求进行签名。配置 CLI 或任何 AWS 软件开发工具包时，您需要指定要使用的访问密钥。

加密密钥管理

当 Secrets Manager 需要对受保护的密钥数据的新版本进行加密时，Secrets Manager 会向 AWS KMS 发送从指定的 CMK 生成新数据密钥的请求。Secrets Manager 使用此数据密钥进行信封加密。Secrets Manager 将加密的数据密钥与加密的密钥一起存储。当密码需要解密时 Secrets Manager 询问 AWS KMS解密数据密钥。 Secrets Manager 然后使用解密的数据密钥解密加密密码。 Secrets Manager 切勿以未加密的形式存储数据密钥，并尽快从内存中删除密钥。

有关加密和解密过程的其他信息，以及有关 Secrets Manager 如何使用 AWS KMS 的完整说明，请参阅 AWS Secrets Manager 如何使用 AWS KMS。

互联网络流量隐私

AWS 提供了多个用于在通过已知的私有网络路由来路由流量时维护隐私的选项。

服务与本地客户端和应用之间的流量

在您的私有网络和 AWS Secrets Manager 之间有两个连接选项：

一个 AWS 站点到站点 VPN 连接。有关更多信息，请参阅什么是 AWS 站点到站点 VPN？
AWS Direct Connect 连接。有关更多信息，请参阅什么是 AWS Direct Connect？

同一区域中 AWS 资源之间的流量

如果要保护 Secrets Manager 和 AWS 中的 API 客户端之间的流量，请设置一个 AWS PrivateLink 以私下访问 Secrets Manager API 终端节点。

Javascript 在您的浏览器中被禁用或不可用。

要使用 AWS 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

AWS Secrets Manager 中的安全性

基础设施安全