Seguridad

Estrategia multi-región de AWS Secrets Manager - Replicación y uso compartido entre cuentas

Aprenda a lograr recuperación ante desastres con replicación multi-región y construir gestión centralizada desde una cuenta de seguridad usando acceso entre cuentas.

約 3 分で読めます

Secretos multi-región

La función de secretos multi-región de Secrets Manager sincroniza automáticamente un secreto de la región primaria con hasta 5 regiones de réplica. Las réplicas son de solo lectura y se actualizan automáticamente cuando el secreto primario cambia. En caso de fallo regional, una réplica puede promoverse a primaria, proporcionando continuidad del servicio. Las aplicaciones en cada región leen el secreto localmente sin latencia entre regiones, mejorando tanto la disponibilidad como el rendimiento.

Acceso entre cuentas

En entornos multi-cuenta, el enfoque recomendado es gestionar los secretos en una cuenta central de seguridad y otorgar acceso entre cuentas a las cuentas de carga de trabajo. Esto se logra mediante políticas de recursos en el secreto que permiten a roles IAM de otras cuentas llamar a GetSecretValue. La clave KMS utilizada para cifrar el secreto también debe tener una política de clave que permita el descifrado entre cuentas. Este patrón centraliza la auditoría y rotación de secretos mientras permite el acceso distribuido. Para profundizar en la gestión de secretos, los libros relacionados (Amazon) son una buena referencia.

Versionado y disponibilidad durante la rotación

Secrets Manager gestiona las versiones de secretos usando etiquetas. AWSCURRENT apunta a la versión actualmente activa, y AWSPREVIOUS apunta a la versión anterior. Durante la rotación, se crea una nueva versión con la etiqueta AWSPENDING, se verifica que funcione, y luego se mueve la etiqueta AWSCURRENT a la nueva versión. Este proceso asegura que las aplicaciones que leen AWSCURRENT siempre obtienen una credencial válida, incluso durante la rotación. Si la rotación falla, AWSCURRENT permanece sin cambios.

Precios de Secrets Manager

Los precios de Secrets Manager consisten en aproximadamente 0,40 USD por secreto al mes y aproximadamente 0,05 USD por cada 10.000 llamadas API. Los secretos replicados en regiones adicionales se cobran como secretos separados en cada región. No hay cargo adicional por la rotación automática, pero la función Lambda de rotación genera sus propios cargos de Lambda (típicamente insignificantes). Para organizaciones con cientos de secretos, el costo mensual es predecible y modesto.

Resumen

La replicación multi-región y el uso compartido entre cuentas de Secrets Manager permiten la gestión de secretos a escala empresarial. La replicación proporciona recuperación ante desastres con failover regional, el acceso entre cuentas centraliza la gobernanza, y el versionado asegura la disponibilidad durante la rotación. Estos patrones combinados forman una base sólida para la gestión de credenciales en entornos multi-cuenta y multi-región.

Servicios relacionados

AWS Secrets ManagerGestione de forma segura y rote automáticamente contraseñas de bases de datos y claves APIAWS KMSServicio administrado de claves de cifrado para crear y gestionar de forma segura las claves utilizadas para cifrar datosAWS LambdaServicio de computación serverless que ejecuta código sin gestión de servidores

Artículos relacionados

AWS Secrets Manager - Rotación automática e integración con aplicacionesRote automáticamente contraseñas de RDS y Aurora con funciones Lambda y recupere secretos de forma transparente desde aplicaciones usando la biblioteca de caché del SDK. También cubre cuándo usar Parameter Store en su lugar.Gestión de configuración y secretos con AWS Systems Manager Parameter Store - Estructura jerárquica y cifradoExplicamos cómo gestionar valores de configuración y secretos con Parameter Store, diseñar estructuras jerárquicas y elegir entre Parameter Store y Secrets Manager.Patrones de diseño de Amazon API Gateway - Criterios de selección entre REST API y HTTP APIClarificamos los criterios de selección entre HTTP API y REST API, y presentamos patrones de autenticación con Cognito y Lambda Authorizer, así como métodos prácticos de diseño de throttling.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

AWS Secrets ManagerServicio que almacena, recupera y rota automáticamente secretos como contraseñas de bases de datos y claves API de forma segura, eliminando credenciales hardcodeadasAWS Secrets Manager - Rotación automática e integración con aplicacionesRote automáticamente contraseñas de RDS y Aurora con funciones Lambda y recupere secretos de forma transparente desde aplicaciones usando la biblioteca de caché del SDK. También cubre cuándo usar Parameter Store en su lugar.Gestión de configuración y secretos con AWS Systems Manager Parameter Store - Estructura jerárquica y cifradoExplicamos cómo gestionar valores de configuración y secretos con Parameter Store, diseñar estructuras jerárquicas y elegir entre Parameter Store y Secrets Manager.AWS KMSServicio de gestión de claves completamente administrado que centraliza la creación, gestión y rotación de claves de cifrado, integrado con más de 100 servicios de AWS