AWS Secrets Manager vám umožňuje bezpečně ukládat všechna vaše pověření, data, hesla a další tajemství.
Kybernetické útoky po celém světě rychle přibývají, jejichž cílem je ukrást důvěrné informace a peníze a zanechávají organizace zdevastované.
To je důvod, proč je potřeba používat silné služby, jako je Secrets Manager, které mohou chránit vaše data.
V tomto článku proberu AWS Secrets Manager a jak pro vás může být přínosný.
Začněme!
Table of Contents
Co je správce tajemství AWS?
AWS Secrets Manager je nástroj, který pomáhá uživatelům spravovat, otáčet a získávat jejich tajemství, jako jsou hesla, klíče API, přihlašovací údaje k databázi a aplikaci atd., v průběhu každého životního cyklu.
Tajemství zde může být důvěrná, cenná informace o vaší organizaci, kterou chcete bezpečně uložit. Může to být pověření, jako je heslo a uživatelské jméno, token OAuth, pověření AWS, klíče SSK, šifrovací klíče, certifikáty a soukromé klíče a další.
Hlavním cílem AWS Secrets Manager je spravovat a chránit vaše data používaná pro přístup k IT zdrojům, službám, aplikacím a systémům. Ukládá a spravuje tajemství a data na centralizovaném místě, což legitimním uživatelům usnadňuje přístup k nim bez nutnosti složitého kódu.
AWS Secrets Manager vám umožňuje otáčet tajemství napříč různými službami AWS, jako je Redshift, RDS a DocumentDB. To umožňuje neustálou aktualizaci všech klíčů a přihlašovacích údajů k databázi napříč těmito službami. Kromě toho můžete tajné klíče otáčet na vyžádání nebo podle plánu pomocí vestavěné konzoly nástroje, sady AWS SDK nebo rozhraní AWS CLI.
Navíc AWS Secrets Manager poskytuje lepší kontrolu dat a silné šifrování pro ochranu dat. Umožňuje vám také monitorovat vaše chráněné informace a auditovat je pomocí různých dostupných integrací.
Jeho největšími uživateli jsou velké podniky s ohledem na velikost podniku a softwarové společnosti s ohledem na typ odvětví.
Správce tajemství AWS: Funkce
#1. Tajné úložiště a správa
Nejen úložiště, ale můžete také snadno spravovat svá tajemství pomocí Secrets Manager. Chcete-li spravovat data na platformě, můžete s daty provádět různé akce:
- Vytvoření tajemství a databáze
- Úprava tajemství
- Hledání tajemství
- Smazání tajemství, které již nepotřebujete
- Obnovení tajemství, které jste ztratili nebo odstranili
- Replikace tajemství do jiné oblasti AWS
- Propagace replikovaného tajného klíče na daný samostatný tajný klíč v AWS Secrets Manager
Po vytvoření účtu v Amazon Aurora, Amazon RDS, Amazon DocumentDB nebo Amazon Redshift si můžete uložit své přihlašovací údaje na platformu. Můžete to udělat pomocí konzoly Secrets Manager, AWS SDK nebo AWS CLI.
#2. Silná bezpečnost
AWS Secrets Manager používá silné šifrování k ochraně všech vašich tajemství před neoprávněnými uživateli. Šifruje vaše tajemství pomocí klíčů AWS Key Management Service (KMS).
Secrets Manager využívá AWS Identity and Access Management (IAM), aby uživatelům umožnil bezpečný přístup k jejich tajemstvím. Nabízí pokročilé řízení přístupu a ověřování.
- Autentizace se používá k ověření identity uživatele, který požadavek podává. A identifikace se provádí prostřednictvím přihlašovacího procesu, který vyžaduje tokeny, přístupové klíče a hesla pro vícefaktorovou autentizaci (MFA).
- Řízení přístupu se používá k zajištění toho, že schválení uživatelé mohou provádět pouze určité operace s tajnými informacemi.
Kromě toho, Secrets Manager využívá zásady definující, kteří uživatelé mají přístup k jakým zdrojům a jaké akce s těmito tajnými informacemi nebo prostředky. Umožňuje vám používat AWS IAM Roles Anywhere a získat dočasné pověření pro zabezpečení v IAM pro servery, aplikace, kontejnery a další pracovní zátěže, kterým AWS dochází.
Kromě toho můžete pro své úlohy povolit stejné role a zásady IAM, které jste vytvořili pro aplikace AWS, pro přístup k vašim prostředkům v AWS i na místních zařízeních (jako jsou aplikační servery).
#3. Rotace tajemství
AWS Secrets Manager vám umožňuje otáčet tajemství podle plánu nebo na vyžádání, aniž by došlo k přerušení nebo opětovnému nasazení vašich aktivních aplikací.
Rotace tajemství zde odkazuje na proces pravidelné aktualizace tajemství organizace. Když tedy otočíte daný tajný klíč, budete muset aktualizovat data nebo přihlašovací údaje v tajném klíči a také službu nebo databázi. Kromě toho vám umožňuje automatizovat rotaci tajných klíčů a ušetřit čas nastavením a automatizací rotace tajných klíčů prostřednictvím konzoly a AWS CLI, abyste ušetřili čas.
K aktualizaci tajného klíče AWS Secret Manager využívá funkci AWS Lambda a volá ji na základě plánu nastavení. Za tímto účelem budete muset nastavit konkrétní plán, který umožní rotaci po určité době, například po 90 nebo 30 dnech. Lze to také provést vytvořením výrazu cron.
Kromě toho může Správce tajemství označit verzi tajného klíče během rotace pomocí pracovních štítků. Může volat funkci mnohokrát během rotace zadáním různých parametrů.
Tajemství můžete otočit takto:
- Vytvořte novou verzi tajemství. Může mít nové uživatelské jméno a heslo spolu s více tajnými daty.
- Změňte stávající přihlašovací údaje ve službě nebo databázi. Tím se shodují nové přihlašovací údaje v nové tajné verzi. Na základě strategie rotace, kterou implementujete, bude vytvořen nový uživatel se stejnými přístupovými oprávněními, jako má stávající uživatel.
- Otestujte nově vytvořenou tajnou verzi tím, že jí povolíte přístup ke službě nebo databázi. Na základě typu přístupu, který vaše aplikace vyžadují; můžete zahrnout přístup pro čtení a zápis.
- Proveďte rotaci přesunem nové verze ze staré verze do nové tajné verze. Uschovejte si starou verzi a přidejte ji k předchozí verzi, aby nedošlo ke ztrátě tajemství.
#4. Tajné sledování
Vzhledem k tomu, že k porušení a neefektivnosti může dojít kdykoli, je důležité sledovat svá tajemství a podniknout potřebné kroky, když je ještě čas. AWS Secrets Manager vám umožňuje sledovat vaše data pomocí monitorovacích nástrojů a okamžitě hlásit v případě, že se něco pokazí.
Budete moci použít protokoly ke zkoumání jakýchkoli neočekávaných změn nebo použití. Pokud byly nalezeny, můžete také vrátit nechtěné změny a načíst předchozí verzi. Kromě toho můžete nakonfigurovat automatické kontroly, které odhalí jakýkoli pokus o tajné vymazání nebo nevhodné použití tajných informací.
S tajným sledováním získáte následující:
- Protokolování událostí pomocí AWS CloudTrail: AWS CloudTrail může zaznamenávat volání API jako události z konzoly pro tajné otočení a odstranění. Ukáže vám zaznamenané události za posledních 90 dní. Můžete také nastavit CloudTrail tak, aby doručoval soubory protokolů přímo do bucketu Amazon S3 z více oblastí a účtů AWS.
- Monitorování pomocí CloudWatch: Pomocí CloudWatch můžete snadno sledovat svá tajemství tím, že jim umožníte shromažďovat a zpracovávat nezpracovaná data do čitelných metrik v reálném čase. Data budou uložena po dobu 15 měsíců, aby bylo možné změřit výkon vaší služby nebo aplikace.
- Přiřaďte události pomocí EventBridge: Pomocí EventsBridge je možné přiřadit události ze souborů protokolu AWS CloudTrail. Za tímto účelem nakonfigurujte rily, které tyto události hledají, a odešlete novou událost, která provede akci na cíl.
- Sledování naplánovaných tajných klíčů pro odstranění: Kombinací protokolů Amazon CloudWatch, Simple Notification Service (SNS) a CloudTrail můžete nastavit alarmy, které vás upozorní v případě jakéhokoli neoprávněného pokusu o odstranění tajemství.
Po obdržení alarmu budete mít čas přemýšlet, zda jej opravdu chcete smazat nebo zastavit mazání. Alternativně můžete uživateli povolit použití nového tajného klíče a poskytnout mu přístupová oprávnění.
#5. Integrace
AWS Secrets Manager se integruje se spoustou dalších nástrojů Amazon a AWS. Seznam obsahuje Alexa for Business, AWS App2Container, App Runner, Amazon AppFlow, AWS AppConfig, Amazon Athena, Amazon DocumentDB, AWS DataSync, AWS CodeBuild, Amazon ElasticCache, Amazon EMR, AWS Elemental Live, Amazon QuickSight, Amazon Redshift, AWS Migration Hub , Amazon RDS a další.
Proč používat Správce tajemství AWS
Vylepšená bezpečnostní pozice
Secrets Manager vám umožňuje vylepšit zabezpečení vaší organizace, protože nepotřebujete žádné pevně zakódované přihlašovací údaje ve zdrojovém kódu vaší aplikace. Uložením svých přihlašovacích údajů ve Správci tajných informací se můžete vyhnout ohrožení bezpečnosti ze strany někoho, kdo má přístup k aplikaci nebo jejím součástem.
Zotavení po havárii
Katastrofa může kdykoli zaklepat na vaše dveře, například kybernetické narušení. To povede ke ztrátě důležitých informací, hesel a dalších pověření a dat. Nebo můžete o svá data přijít náhodným smazáním.
Pomocí tohoto nástroje můžete své napevno zakódované přihlašovací údaje nahradit voláním za běhu do AWS Secrets Manager, abyste mohli své přihlašovací údaje v případě potřeby dynamicky načíst.
Snížená rizika
Správce tajných klíčů vám umožňuje nakonfigurovat plán střídání, aby se tajné klíče mohly otáčet automaticky, až přijde čas. Tímto způsobem můžete nahradit svá dlouhodobá tajemství krátkodobými, což pomáhá snížit rizika ohrožení bezpečnosti.
Kromě toho rotace přihlašovacích údajů nevyžaduje aktualizace aplikací nebo úpravy aplikačních klientů, protože své přihlašovací údaje nebudete ukládat s aplikací.
Splnění požadavků na shodu
Při pohledu na zvyšující se rizika v oblasti bezpečnosti a ochrany soukromí regulační orgány, jako je GDPR a HIPAA, vyžadují, aby organizace dodržovaly své standardy shody, aby bylo zajištěno, že budou zpracovávat zákaznická a obchodní data bezpečně. Používejte tedy pouze aplikaci nebo službu, která je bezpečná a v souladu s platnými předpisy.
AWS Secrets Manager, můžete sledovat svá tajemství, abyste odhalili jakoukoli bezpečnostní zranitelnost nebo riziko, které by mohlo ohrozit vaše data, a předem zasáhnout. Tím jsou v podstatě chráněny informace o vaší firmě a zákaznících, což je velmi důležité pro zachování souladu. Můžete se také lépe připravit na audit tím, že vše zdokumentujete.
Kromě toho můžete využít AWS Configs k posouzení vašich tajemství a jejich souladu s interními zásadami, předpisy a průmyslovými směrnicemi vaší organizace. Umožňuje vám definovat požadavky na dodržování předpisů a vnitřní kontroly pro tajné informace a identifikovat tajná tajemství, která nejsou v souladu.
Lepší ovládání
Získáte lepší kontrolu nad svými tajemstvími, systémy a dalšími daty pomocí jemně strukturovaných zásad a řízení přístupu. AWS IAM zajistí, aby správná osoba měla správnou úroveň přístupových oprávnění ke správným zdrojům. Správci mohou vytvářet nebo mazat účty, povolovat nebo omezovat přístup uživatelům, přidávat nebo odebírat členy a provádět mnoho akcí podle potřeb a situací.
Správce tajemství AWS: Jak jej nastavit a používat
AWS Secrets Manager můžete nastavit a používat následovně:
- Nastavte svůj účet AWS zadáním požadovaných údajů.
- Přihlaste se ke svému účtu AWS
- Přejděte do konzoly Správce tajemství AWS
- Vyhledejte možnost „Uložit nové tajemství“ a kliknutím na ni vytvořte a uložte své tajemství.
Jak vytvořit a uložit nové tajemství
K vytvoření tajného klíče v Secrets Manager potřebujete oprávnění od spravovaných zásad SecretsManagerReadWrite. Když je vytvořen tajný klíč, Secret Manager vygeneruje záznam protokolu CloudTrail.
Chcete-li uložit své přístupové tokeny, klíče API a přihlašovací údaje v AWS Secrets Manager, postupujte podle následujících kroků:
Zdroj: Stack Overflow
Naleznete stránku „Vyberte tajný typ“. Dále proveďte následující kroky:
- Vyberte „Jiný typ tajemství“ pro typ tajemství, který chcete vytvořit.
- Uvidíte páry klíč/hodnota. Zadejte tajný klíč v párech klíč/hodnota v JSON. Nebo vyberte kartu Prostý text a zadejte své tajemství ve formátu, který si vyberete. Je možné uložit tajemství až do 65536 bajtů.
- Vyberte klíč AWS KMS, který používá Secret Manager k zašifrování tajné hodnoty. Většinou můžete použít aws/secretsmanager pro použití spravovaného klíče. Nezpůsobuje to žádné náklady.
- Chcete-li získat přístup k tajnému klíči z jiného účtu AWS nebo použít svůj klíč KMS k povolení rotace nebo implementaci zásady na tento klíč, vyberte „Přidat nový klíč“ nebo vyberte klíč, který je spravován zákazníkem, z daného seznamu. Platí se však klíč spravovaný zákazníkem.
- Vyberte „Další“
- Zadejte tajný název a jeho popis. Název musí mít 1–512 znaků Unicode.
- V sekci Štítky můžete přidat štítky do tajenky. Můžete také zahrnout zásady zdrojů výběrem „Upravit oprávnění“.
- Kromě toho je také možné replikovat tajný klíč do jiné oblasti AWS výběrem „Replikovat tajný klíč“. Tyto kroky jsou volitelné.
- Vyberte „Další“
Kromě konzole můžete také přidat tajemství prostřednictvím AWS SDK a AWS CLI.
AWS Secrets Manager vs. AWS Parameter Store
AWS Parameter Store je nástroj pro správu aplikací od AWS Systems Manager (SSM), který uživatelům umožňuje vytvořit parametr klíč-hodnota, který může uložit konfigurace aplikace, přihlašovací údaje, produktové klíče a vlastní proměnné prostředí.
Na druhou stranu, AWS Secrets Manager je služba, která vám umožňuje vytvářet, ukládat, spravovat, načítat a otáčet přihlašovací údaje, klíče, tokeny API atd.
Obě tyto služby mají podobná rozhraní, kde je snadné deklarovat vaše páry klíč–hodnota pro tajné klíče a parametry. Dělají to však z následujících důvodů:
Správce tajemství AWS Parametry AWS Velikost úložištěUkládá až 10 kb tajné velikostiUkládá až 4 096 znaků nebo 4 kb pro záznam a může dosáhnout až 8 kb pro pokročilé parametry. stojí 0,40 $/tajné/měsíc Zdarma pro standardní parametry a stojí 0,05 $/10 000 API volání pro pokročilé parametryRotaceNabízí automatickou rotaci pro jakýkoli tajný klíč kdykoli a lze jej nakonfigurovat. K aktualizaci přihlašovacích údajů budete muset sami napsat funkci Přístup mezi účtyAnoNe Replikace napříč oblastmiAnoNeTyp přihlašovacích údajůIt‘ pro důvěrná data, která vyžadují šifrování, tedy omezené případy použití. Širší případ použití, protože můžete uložit více typů přihlašovacích údajů včetně konfiguračních proměnných aplikace, jako jsou kódy produktů, adresy URL atd.
Závěr
Ať už jste z malého, středního nebo velkého podniku, můžete použít AWS Secrets Manager k vytvoření a uložení vašich tajemství. Nabízí vylepšené zabezpečení, soukromí, řízení přístupu, funkce a možnosti pro ochranu vašich tajemství před neoprávněným přístupem.
Můžete také prozkoumat, jak provádět bezpečnostní skenování AWS a monitorování konfigurace.