本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
中的数据保护 Amazon Secrets Manager
分 Amazon 分担责任模型
出于数据保护目的,我们建议您保护 Amazon Web Services 账户 凭证并使用 Amazon Identity and Access Management (IAM) 设置个人用户账户。这仅向每个用户授予履行其工作职责所需的权限。我们还建议您通过以下方式保护数据:
-
对每个账户使用 multi-factor authentication(MFA)。
-
使用 SSL/TLS 与资源通信。 Amazon Secrets 在所有区域支持 TLS 1.2 和 1.3。Secrets Manager 还支持对传输层安全(TLS)网络加密协议使用混合后量子密钥交换选项(PQTLS)。
-
使用访问密钥 ID 和与 IAM 主体关联的秘密访问密钥来对以编程方式向 Secrets Manager 发出的请求进行签名。或者,您可以使用 Amazon Security Token Service(Amazon STS)生成临时安全凭证来对请求进行签名。
-
使用设置 API 和用户活动日志 Amazon CloudTrail。请参阅 使用记录 Amazon Secrets Manager 事件 Amazon CloudTrail。
-
如果您在 Amazon 通过命令行界面或 API 进行访问时需要经过 FIPS 140-2 验证的加密模块,请使用 FIPS 端点。请参阅 Amazon Secrets Manager 端点。
-
如果你使用 Amazon CLI 来访问 Secrets Manager,降低使用存储 Amazon Secrets Manager 密钥 Amazon CLI 的风险.
静态加密
Secrets Manager 使用通过 Amazon Key Management Service (Amazon KMS) 进行加密来保护静态数据的机密性。 Amazon KMS 提供许多服务使用的密钥存储和加密 Amazon 服务。Secrets Manager 中的每个密钥都使用唯一的数据密钥加密。每个数据密钥都由一个 KMS 密钥保护。您可以选择对账户使用 Secrets Manager Amazon 托管式密钥 的默认加密,也可以在 Amazon KMS中创建自己的客户托管密钥。使用客户托管密钥可让您对 KMS 密钥活动进行更精细的授权控制。有关更多信息,请参阅 中的密钥加密和解密 Amazon Secrets Manager。
传输中加密
Secrets Manager 为传输中的加密数据提供安全的私有终端节点。安全和私有端点 Amazon 允许保护向 Secrets Manager 发出的 API 请求的完整性。 Amazon 要求调用者使用 X.509 证书和/或 Secrets Manager 私有访问密钥对 API 调用进行签名。签名版本 4 签名流程 (Sigv4) 中阐述了此要求。
如果您使用 Amazon Command Line Interface (Amazon CLI) 或其中任何一个 Amazon SDKs 来拨打电话 Amazon,则需要配置要使用的访问密钥。然后,这些工具会自动使用访问密钥为您签署请求。请参阅 降低使用存储 Amazon Secrets Manager 密钥 Amazon CLI 的风险。
互联网络流量隐私
Amazon 在通过已知和专用网络路由路由路由流量时,提供了维护隐私的选项。
- 服务与本地客户端和应用之间的流量
-
您的私有网络和以下两种连接方式可供选择 Amazon Secrets Manager:
-
一个 Amazon Site-to-Site VPN 连接。有关更多信息,请参阅什么是 Amazon 点对点 VPN?
-
Amazon Direct Connect 连接。有关更多信息,请参阅什么是 Amazon Direct Connect?
-
- 同一区域内 Amazon 资源之间的流量
-
如果你想在中保护 Secrets Manager 和 API 客户端之间的流量 Amazon,请设置一个Amazon PrivateLink
以私密方式访问 Secrets Manager API 端点。
加密密钥管理
当 Secrets Manager 需要加密受保护机密数据的新版本时,Secrets Manager 会向发送请求,要求从 KMS 密钥生成新的数据密钥。 Amazon KMS Secrets Manager 使用此数据密钥进行信封加密。Secrets Manager 将加密的数据密钥与加密的密钥储存在一起。当需要解密密密钥时,Secrets Manager 会要求 Amazon KMS 解密数据密钥。然后,Secrets Manager 使用解密的数据密钥来解密加密的密钥。Secrets Manager 从不以未加密的形式存储数据密钥,并尽快从内存中删除密钥。有关更多信息,请参阅 中的密钥加密和解密 Amazon Secrets Manager。