AWS Secrets Manager のアイコン

AWS Secrets Manager Esencial2018年〜

Gestione de forma segura y rote automáticamente contraseñas de bases de datos y claves API

Unos 2 min de lectura

Qué hace

AWS Secrets Manager almacena y gestiona de forma segura información sensible (secretos) como credenciales de bases de datos, claves API y tokens OAuth. Además del almacenamiento cifrado, control de acceso y registro de auditoría, proporciona rotación automática para contraseñas de bases de datos.

Casos de uso

Almacenamiento seguro y rotación automática de contraseñas de RDS y Aurora, gestión centralizada de claves API de terceros, recuperación de secretos desde funciones Lambda y aplicaciones en contenedores, y compartir secretos en entornos multi-cuenta.

Analogía cotidiana

Es como una caja de seguridad bancaria. En lugar de guardar documentos importantes (contraseñas y claves API) en un cajón del escritorio (código fuente), los almacena en una bóveda bancaria (Secrets Manager). Cuando los necesita, presenta su identificación (autenticación IAM) para recuperarlos.

¿Qué es Secrets Manager?

AWS Secrets Manager elimina la necesidad de codificar credenciales en el código de aplicación. Los secretos se almacenan cifrados con KMS y se recuperan mediante llamadas API en tiempo de ejecución. El control de acceso granular mediante políticas IAM garantiza que solo las aplicaciones autorizadas puedan acceder a secretos específicos.

Rotación automática

Secrets Manager puede rotar automáticamente secretos de bases de datos (RDS, Aurora, Redshift, DocumentDB) sin tiempo de inactividad de la aplicación. Una función Lambda de rotación actualiza tanto el secreto como la credencial de la base de datos. También puede crear funciones de rotación personalizadas para otros tipos de secretos. Para profundizar, los libros de referencia en Amazon son útiles.

Uso de secretos desde aplicaciones

Las aplicaciones recuperan secretos llamando a la API GetSecretValue. Los SDK de AWS y las bibliotecas de caché proporcionadas por AWS simplifican la integración. Las extensiones de Lambda permiten recuperar secretos sin modificar el código de la función.

Precios

Se cobra $0.40 por secreto por mes más $0.05 por cada 10,000 llamadas API. No hay cargos adicionales por la rotación automática.

Aspectos a tener en cuenta

  • Cache secret retrieval results in your application to reduce API call frequency. Using AWS-provided caching libraries is recommended
  • Before enabling automatic rotation, test that your application can handle secret changes. Verify that connection pool reconnection logic works correctly
共有するXB!

Servicios relacionados

AWS KMS iconoAWS KMSServicio administrado de claves de cifrado para crear y gestionar de forma segura las claves utilizadas para cifrar datosAWS Lambda iconoAWS LambdaServicio de computación serverless que ejecuta código sin gestión de servidoresAmazon RDS iconoAmazon RDSServicio gestionado que proporciona bases de datos relacionales como MySQL, PostgreSQL y Oracle

Artículos relacionados

Estrategia multi-región de AWS Secrets Manager - Replicación y uso compartido entre cuentasAprenda a lograr recuperación ante desastres con replicación multi-región y construir gestión centralizada desde una cuenta de seguridad usando acceso entre cuentas.AWS Secrets Manager - Rotación automática e integración con aplicacionesRote automáticamente contraseñas de RDS y Aurora con funciones Lambda y recupere secretos de forma transparente desde aplicaciones usando la biblioteca de caché del SDK. También cubre cuándo usar Parameter Store en su lugar.

Más en esta categoría

IAM Access Analyzer iconoIAM Access Analyzer SpecializedUn servicio que detecta recursos accesibles externamente y permisos de acceso no utilizadosAWS Certificate Manager iconoAWS Certificate Manager EssentialUn servicio que automatiza el aprovisionamiento, la gestión y el despliegue de certificados SSL/TLSAWS Artifact iconoAWS Artifact SpecializedUn servicio para acceder bajo demanda a informes de cumplimiento y acuerdos de AWSAWS Audit Manager iconoAWS Audit Manager SpecializedUn servicio que automatiza la recopilación de evidencia y la evaluación para auditorías de cumplimientoAWS CloudHSM iconoAWS CloudHSM EspecializadoUn servicio que gestiona claves criptográficas con módulos de seguridad de hardware dedicadosAmazon Cognito iconoAmazon Cognito PopularUn servicio que proporciona autenticación, autorización y gestión de usuarios para aplicaciones web y móvilesAmazon Detective iconoAmazon Detective EspecializadoUn servicio que analiza automáticamente hallazgos de seguridad e investiga la causa raízAWS Directory Service iconoAWS Directory Service EspecializadoUn servicio que proporciona Active Directory administrado en AWS

Artículos y servicios similares

AWS Secrets ManagerServicio que almacena, recupera y rota automáticamente secretos como contraseñas de bases de datos y claves API de forma segura, eliminando credenciales hardcodeadasAWS Secrets Manager - Rotación automática e integración con aplicacionesRote automáticamente contraseñas de RDS y Aurora con funciones Lambda y recupere secretos de forma transparente desde aplicaciones usando la biblioteca de caché del SDK. También cubre cuándo usar Parameter Store en su lugar.Estrategia multi-región de AWS Secrets Manager - Replicación y uso compartido entre cuentasAprenda a lograr recuperación ante desastres con replicación multi-región y construir gestión centralizada desde una cuenta de seguridad usando acceso entre cuentas.Gestión de configuración y secretos con AWS Systems Manager Parameter Store - Estructura jerárquica y cifradoExplicamos cómo gestionar valores de configuración y secretos con Parameter Store, diseñar estructuras jerárquicas y elegir entre Parameter Store y Secrets Manager.AWS KMSServicio de gestión de claves completamente administrado que centraliza la creación, gestión y rotación de claves de cifrado, integrado con más de 100 servicios de AWS