Seguridad

AWS Secrets Manager - Rotación automática e integración con aplicaciones

Rote automáticamente contraseñas de RDS y Aurora con funciones Lambda y recupere secretos de forma transparente desde aplicaciones usando la biblioteca de caché del SDK. También cubre cuándo usar Parameter Store en su lugar.

約 3 分で読めます

Secrets Manager vs Systems Manager Parameter Store

Secrets Manager es un servicio para almacenar y gestionar de forma segura información sensible como contraseñas de bases de datos, claves API y tokens OAuth. Parameter Store (parte de Systems Manager) también puede almacenar secretos como SecureString, pero carece de rotación automática integrada. Secrets Manager es la opción cuando se necesita rotación automática, auditoría detallada de acceso a secretos o replicación multi-región. Parameter Store es apropiado para configuraciones no sensibles, flags de características y parámetros que no requieren rotación.

Cómo funciona la rotación automática

La rotación automática es un mecanismo donde una función Lambda actualiza periódicamente el valor del secreto. Para bases de datos RDS y Aurora, Secrets Manager proporciona funciones Lambda de rotación predefinidas. La estrategia de usuario único actualiza la contraseña del mismo usuario, causando una breve ventana donde las conexiones existentes pueden fallar. La estrategia de usuarios alternos mantiene dos usuarios de base de datos y alterna entre ellos, asegurando que siempre haya un usuario con credenciales válidas. El intervalo de rotación es configurable (mínimo 4 horas, máximo 365 días). Para profundizar en la gestión de secretos y seguridad, los libros relacionados (Amazon) son una buena referencia.

Patrones de recuperación desde aplicaciones

El patrón básico para recuperar secretos desde aplicaciones es usar la API GetSecretValue del SDK de AWS. Para reducir la latencia y las llamadas API, use la biblioteca de caché de Secrets Manager que almacena secretos en memoria con un TTL configurable. En Lambda, inicialice el cliente de Secrets Manager fuera del handler para reutilizar la conexión entre invocaciones. En ECS, inyecte secretos como variables de entorno referenciando el ARN del secreto en la definición de tarea, con resolución automática en el inicio del contenedor.

Precios de Secrets Manager

Los precios de Secrets Manager consisten en aproximadamente 0,40 USD por secreto al mes y aproximadamente 0,05 USD por cada 10.000 llamadas API. La rotación automática no genera cargos adicionales de Secrets Manager, pero la función Lambda de rotación genera sus propios cargos (típicamente menos de 0,01 USD al mes por secreto). Comparado con el costo de una brecha de seguridad por credenciales no rotadas, el costo de Secrets Manager es insignificante.

Resumen

Secrets Manager es un servicio que automatiza la gestión del ciclo de vida de credenciales. Al imponer la rotación periódica, reduce el riesgo de credenciales comprometidas. La integración con RDS/Aurora simplifica la rotación de contraseñas de base de datos, y la biblioteca de caché del SDK minimiza el impacto en el rendimiento de la aplicación. Use Secrets Manager para credenciales que requieren rotación y Parameter Store para configuraciones estáticas.

Servicios relacionados

AWS Secrets ManagerGestione de forma segura y rote automáticamente contraseñas de bases de datos y claves APIAWS LambdaServicio de computación serverless que ejecuta código sin gestión de servidoresAWS KMSServicio administrado de claves de cifrado para crear y gestionar de forma segura las claves utilizadas para cifrar datos

Artículos relacionados

PKI privada con AWS Private CA - Emisión automática y rotación de certificadosConstruye una autoridad de certificación privada y emite automáticamente certificados mTLS para comunicación entre servicios internos. Presentamos la gestión del ciclo de vida de certificados y el diseño de CRL.Estrategia multi-región de AWS Secrets Manager - Replicación y uso compartido entre cuentasAprenda a lograr recuperación ante desastres con replicación multi-región y construir gestión centralizada desde una cuenta de seguridad usando acceso entre cuentas.Gestión de configuración y secretos con AWS Systems Manager Parameter Store - Estructura jerárquica y cifradoExplicamos cómo gestionar valores de configuración y secretos con Parameter Store, diseñar estructuras jerárquicas y elegir entre Parameter Store y Secrets Manager.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

AWS Secrets ManagerServicio que almacena, recupera y rota automáticamente secretos como contraseñas de bases de datos y claves API de forma segura, eliminando credenciales hardcodeadasEstrategia multi-región de AWS Secrets Manager - Replicación y uso compartido entre cuentasAprenda a lograr recuperación ante desastres con replicación multi-región y construir gestión centralizada desde una cuenta de seguridad usando acceso entre cuentas.Gestión de configuración y secretos con AWS Systems Manager Parameter Store - Estructura jerárquica y cifradoExplicamos cómo gestionar valores de configuración y secretos con Parameter Store, diseñar estructuras jerárquicas y elegir entre Parameter Store y Secrets Manager.AWS Systems ManagerServicio que centraliza la gestión operativa de instancias EC2 y servidores on-premises, permitiendo aplicar parches, ejecutar comandos, gestionar parámetros y conectarse por sesión sin SSH