AWS Secrets Manager 中的数据保护 - AWS Secrets Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

AWS Secrets Manager 中的数据保护

AWS Secrets Manager 符合 AWS 责任共担模式,该模式包含适用于数据保护的法规和准则。AWS 负责保护运行所有 AWS 服务的全球基础设施。AWS 保持对该基础设施上托管的数据的控制,包括用于处理客户内容和个人数据的安全配置控制。作为数据控制者或数据处理者,AWS 客户和 APN 合作伙伴对他们放在 AWS 云中的任何个人数据承担责任。

出于数据保护目的,我们建议您保护 AWS 账户凭证并使用 AWS Identity and Access Management (IAM) 设置各个用户账户,以便仅向每个用户提供履行工作职责所需的权限。

静态加密

Secrets Manager 使用加密通过 AWS Key Management Service (kms)保护静态数据的机密性。 AWSKMS提供了许多 AWS 服务。 AWS Secrets Manager 将每个秘密与 AWS 公共卫生硕士 客户主密钥 (CMK)。关联的 CMK 可以是账户的默认 Secrets Manager CMK,您也可以创建您自己的 CMK。有关创建 CMK 的其他信息,请参阅 Secrets Manager 如何使用 AWS KMS

传输中加密

Secrets Manager 提供安全的私有终端节点,以用于加密传输中的数据。通过安全的私有终端节点,AWS 可以保护向 Secrets Manager 发出的 API 请求的完整性。AWS 要求调用方使用 X.509 证书和/或 AWS Secrets Manager 秘密访问密钥对 API 调用进行签名。签名版本 4 签名流程 (Sigv4) 中阐述了此要求。

如果您使用 AWS 命令行界面 (CLI) 或任何 AWS 软件开发工具包调用 AWS,那么这些工具会自动使用指定的访问密钥对请求进行签名。配置 CLI 或任何 AWS 软件开发工具包时,您需要指定要使用的访问密钥。

加密密钥管理

当 Secrets Manager 需要对受保护的密钥数据的新版本进行加密时,Secrets Manager 会向 AWS KMS 发送从指定的 CMK 生成新数据密钥的请求。Secrets Manager 使用此数据密钥进行信封加密。Secrets Manager 将加密的数据密钥与加密的密钥一起存储。当密码需要解密时 Secrets Manager 询问 AWS KMS解密数据密钥。 Secrets Manager 然后使用解密的数据密钥解密加密密码。 Secrets Manager 切勿以未加密的形式存储数据密钥,并尽快从内存中删除密钥。

有关加密和解密过程的其他信息,以及有关 Secrets Manager 如何使用 AWS KMS 的完整说明,请参阅 AWS Secrets Manager 如何使用 AWS KMS

互联网络流量隐私

AWS 提供了多个用于在通过已知的私有网络路由来路由流量时维护隐私的选项。

服务与本地客户端和应用之间的流量

在您的私有网络和 AWS Secrets Manager 之间有两个连接选项:

同一区域中 AWS 资源之间的流量

如果要保护 Secrets Manager 和 AWS 中的 API 客户端之间的流量,请设置一个 AWS PrivateLink 以私下访问 Secrets Manager API 终端节点。