Amazon Secrets Manager 中的数据保护 - Amazon Secrets Manager
静态加密传输中加密互联网络流量隐私加密密钥管理
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Secrets Manager 中的数据保护

Amazon责任共担模式适用于 Amazon Secrets Manager 中的数据保护。如该模式中所述,Amazon 负责保护运行所有 Amazon Web Services 云 的全球基础设施。您负责维护对托管在此基础设施上的内容的控制。此内容包括您所使用的 Amazon Web Services 的安全配置和管理任务。有关数据隐私的更多信息,请参阅数据隐私常见问题

出于数据保护目的,我们建议您保护 Amazon Web Services 账户 凭证并使用 Amazon Identity and Access Management (IAM) 设置单独的用户账户。这仅向每个用户授予履行其工作职责所需的权限。我们还建议您通过以下方式保护您的数据:

静态加密

Secrets Manager 使用通过 Amazon Key Management Service (Amazon KMS) 来保护静态数据的机密性。Amazon KMS 提供由许多 Amazon 服务使用的密钥存储和加密服务。Secrets Manager 中的每个密钥都使用唯一的数据密钥加密。每个数据密钥都由一个 KMS 密钥保护。您可以选择对账户使用 Secrets Manager Amazon 托管式密钥 的默认加密,也可以在 Amazon KMS 中创建自己的客户托管密钥。使用客户托管密钥可让您对 KMS 密钥活动进行更精细的授权控制。有关更多信息,请参阅中的秘密加密和解密 Amazon Secrets Manager

传输中加密

Secrets Manager 为传输中的加密数据提供安全的私有终端节点。通过安全的私有终端节点,Amazon 可以保护向 Secrets Manager 发出的 API 请求的完整性。Amazon 要求调用方使用 X.509 证书和/或 Secrets Manager 秘密访问密钥对 API 调用进行签名。签名版本 4 签名流程 (Sigv4) 中阐述了此要求。

如果您将 Amazon Command Line Interface (Amazon CLI) 或任何 Amazon SDK 要调用 Amazon 中,您可以配置要使用的访问密钥。然后,这些工具会自动使用访问密钥为您签署请求。请参阅降低使用 Amazon CLI 存储 Amazon Secrets Manager 密钥的风险

互联网络流量隐私

Amazon 提供了多个用于在通过已知的私有网络路由来路由流量时维护隐私的选项。

服务与本地客户端和应用之间的流量

在您的私有网络和 Amazon Secrets Manager 之间有两个连接选项:

同一区域中 Amazon 资源之间的流量

如果要保护 Secrets Manager 和 Amazon 中的 API 客户端之间的流量,请设置一个 Amazon PrivateLink 以私下访问 Secrets Manager API 端点。

加密密钥管理

当 Secrets Manager 需要加密受保护密钥数据的新版本,Secrets Manager 会将请求发送到 Amazon KMS 在 KMS 密钥生成新的数据密钥。Secrets Manager 使用此数据密钥进行信封加密。Secrets Manager 将加密的数据密钥与加密的密钥储存在一起。密钥需要解密时,Secrets Manager 会询问 Amazon KMS 来解密数据密钥。然后,Secrets Manager 使用解密的数据密钥来解密加密的密钥。Secrets Manager 从不以未加密的形式存储数据密钥,并尽快从内存中删除密钥。有关更多信息,请参阅中的秘密加密和解密 Amazon Secrets Manager