AWS Secrets Manager 中的数据保护 - AWS Secrets Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Secrets Manager 中的数据保护

AWS 责任共担模式适用于 AWS Secrets Manager 中的数据保护。如该模式中所述,AWS 负责保护运行所有 AWS 云的全球基础设施。您负责维护对托管在此基础设施上的内容的控制。此内容包括您所使用的 AWS 服务的安全配置和管理任务。有关数据隐私的更多信息,请参阅数据隐私常见问题

出于数据保护目的,我们建议您保护 AWS 账户凭证并使用 AWS Identity and Access Management (IAM) 设置单独的用户账户。这仅向每个用户授予履行其工作职责所需的权限。我们还建议您通过以下方式保护您的数据:

  • 对每个账户使用 Multi-Factor Authentication (MFA)。

  • 使用 SSL/TLS 与 AWS 资源进行通信。建议使用 TLS 1.2 或更高版本。

  • 使用 AWS CloudTrail 设置 API 和用户活动日志记录。

  • 使用 AWS 加密解决方案以及 AWS 服务中的所有默认安全控制。

  • 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的个人数据。

  • 如果在通过命令行界面或 API 访问 AWS 时需要经过 FIPS 140-2 验证的加密模块,请使用 FIPS 终端节点。有关可用的 FIPS 终端节点的更多信息,请参阅美国联邦信息处理标准 (FIPS) 第 140-2 版

我们强烈建议您切勿将敏感的可识别信息(例如您客户的账号)放入自由格式字段(例如 Name (名称) 字段)。这包括使用控制台、API、AWS CLI 或 AWS 开发工具包处理 Secrets Manager 或其他 AWS 服务时。您输入到 Secrets Manager 或其他服务中的任何数据都可能被选取以包含在诊断日志中。当您向外部服务器提供 URL 时,请勿在 URL 中包含凭证信息来验证您对该服务器的请求。

静态加密

Secrets Manager通过 AWS Key Management Service (KMS) 使用加密来保护静态数据的机密性。AWSKMS 提供了许多 AWS 服务使用的密钥存储和加密服务。AWS Secrets Manager 将每个密钥与 AWS KMS 客户主密钥 (CMK) 相关联。关联的 CMK 可以是账户的默认 Secrets Manager CMK,您也可以创建您自己的 CMK。有关创建 CMKs 的其他信息,请参阅 Secrets Manager 如何使用 AWS KMS

传输中加密

Secrets Manager 提供安全的私有终端节点,以用于加密传输中的数据。通过安全的私有终端节点,AWS 可以保护向 Secrets Manager 发出的 API 请求的完整性。AWS 要求调用方使用 X.509 证书和/或 AWS Secrets Manager 秘密访问密钥对 API 调用进行签名。签名版本 4 签名流程 (Sigv4) 中阐述了此要求。

如果您使用 AWS 命令行界面 (CLI) 或任意 AWS SDKs 调用 AWS,则这些工具会自动使用指定的访问密钥为您签署请求。在配置 CLI 或任何 AWS SDKs 时,您可以指定要使用的访问密钥。

加密密钥管理

当 Secrets Manager 需要对受保护的密钥数据的新版本进行加密时,Secrets Manager 会向 AWS KMS 发送从指定的 CMK 生成新数据密钥的请求。Secrets Manager 使用此数据密钥进行信封加密。Secrets Manager 将加密的数据密钥与加密的密钥一起存储。在需要解密密钥时,Secrets Manager 会要求 AWS KMS 解密数据密钥。Secrets Manager 然后,使用解密的数据密钥解密加密的密钥。Secrets Manager 从不以未加密的形式存储数据密钥,并尽快从内存中删除密钥。

有关加密和解密过程的其他信息,以及有关 Secrets Manager 如何使用 AWS KMS 的完整说明,请参阅 AWS Secrets Manager 如何使用 AWS KMS

互联网络流量隐私

AWS 提供了多个用于在通过已知的私有网络路由来路由流量时维护隐私的选项。

服务与本地客户端和应用之间的流量

在您的私有网络和 AWS Secrets Manager 之间有两个连接选项:

同一区域中 AWS 资源之间的流量

如果要保护 Secrets Manager 与 AWS 中的 API 客户端之间的流量,请设置 AWS PrivateLink 以私下访问 Secrets Manager API 终端节点。