Domande generali

AWS Secrets Manager è un servizio di gestione di chiavi segrete che aiuta a proteggere l'accesso ad applicazioni, servizi e risorse IT. Questo servizio permette di modificare periodicamente, gestire, e modificare credenziali di database, chiavi API e altre chiavi segrete in tutto il ciclo di vita. Con Secrets Manager, è possibile proteggere e gestire le chiavi segrete necessarie per accedere alle risorse nel cloud AWS, in servizi di terze prati e in locale.

AWS Secrets Manager protegge l'accesso ad applicazioni, servizi e risorse IT senza alcun investimento anticipato né costi di manutenzione per il funzionamento di un'infrastruttura locale.

Secrets Manager è rivolto agli amministratori IT che desiderano un metodo sicuro e scalabile per memorizzare e gestire chiavi segrete. Gli amministratori della sicurezza, responsabili dei requisiti normativi e di conformità, potranno utilizzare questo servizio per monitorare le chiavi segrete e modificarle periodicamente senza provocare interruzioni delle applicazioni. Gli sviluppatori che desiderano sostituire le chiavi segrete scritte nel codice delle loro applicazioni potranno utilizzarle in modo programmatico con Secrets Manager.

AWS Secrets Manager permette di memorizzare, utilizzare, modificare periodicamente, verificare con audit e monitorare le chiavi segrete in modo centralizzato, controllandone anche l'accesso.

È possibile crittografare le chiavi segrete su disco per ridurre le possibilità che utenti non autorizzati visualizzino informazioni sensibili. Per recuperare le chiavi segrete, è sufficiente sostituire le chiavi memorizzate in testo semplice nelle applicazioni con il codice necessario per richiamarle con le API Secrets Manager. È possibile utilizzare le policy di AWS Identity and Access Management (IAM) per controllare quali utenti e applicazioni possono accedere a specifiche chiavi segrete. È inoltre possibile modificare periodicamente le password, sia su pianificazione sia on demand, per i tipi di database supportati in hosting in AWS, senza provocare interruzioni alle applicazioni. Questa funzionalità può essere anche estesa per modificare periodicamente altre chiavi segrete, ad esempio le password per database Oracle in hosting in Amazon EC2 o i token di aggiornamento OAuth, semplicemente modificando le funzioni Lambda di esempio. Inoltre, è possibile effettuare audit e monitorare le chiavi segrete, perché Secrets Manager si integra con AWS CloudTrail, Amazon CloudWatch e Amazon Simple Notification Service (Amazon SNS).

È possibile gestire chiavi segrete quali credenziali di database, credenziali di risorse locali, credenziali di applicazioni SaaS, chiavi API di terze parti e chiavi Secure Shell (SSH). Secrets Manager permette di memorizzare un documento JSON con cui è possibile gestire qualsiasi descrizione di testo di dimensioni inferiori a 64 KB.

È possibile modificare periodicamente le credenziali in modo nativo per Amazon Relational Database Service (RDS), Amazon DocumentDB e Amazon Redshift. Secrets Manager può essere anche estesa per modificare periodicamente altre chiavi segrete, ad esempio le password per database Oracle in hosting in EC2 o i token di aggiornamento OAuth, semplicemente modificando le funzioni AWS Lambda disponibili nella documentazione Secrets Manager.

Prima di tutto, è necessario scrivere una policy di AWS Identity and Access Management (IAM) che permetta all'applicazione di accedere a specifiche chiavi segrete. Quindi le chiavi segrete in testo semplice nel codice sorgente delle applicazioni potranno essere sostituite con il codice che permette di utilizzarle programmaticamente tramite le API Secrets Manager. Per una descrizione completa della funzionalità comprensiva di esempi, consulta il documento guida per l'utente di AWS Secrets Manager.

Per iniziare a usare AWS Secrets Manager:

  1. Individua le chiavi segrete e il relativo percorso di utilizzo nelle applicazioni.
  2. Accedi alla Console di gestione AWS con le credenziali AWS e apri la console di Secrets Manager.
  3. Nella console di Secrets Manager, carica una chiave segreta. In alternativa, è possibile utilizzare il kit SDK AWS o l'interfaccia a riga di comando per caricare una chiave segreta alla volta. È anche possibile compilare uno script per caricare più chiavi segrete alla volta.
  4. Se la chiave segreta non è ancora in uso, segui le istruzioni nella console per configurare la modifica periodica automatica. Se la chiave segreta è già utilizzata dalle applicazioni, completa i passaggi ai punti 5 e 6 prima di configurare la modifica periodica automatica.
  5. Se altri utenti o applicazioni devono utilizzare la chiave segreta, compila una policy di IAM per fornire le autorizzazioni di accesso alla chiave.
  6. Aggiorna le applicazioni in modo che recuperino la chiave segreta direttamente da Secrets Manager.

Per informazioni sulla disponibilità di AWS Secrets Manager, consulta la tabella delle regioni AWS.

Modifica programmata

AWS Secrets Manager permette di configurare la modifica periodica delle credenziali di database secondo una pianificazione specifica. In questo modo è possibile seguire le best practice di sicurezza e modificare le credenziali del database in modo affidabile. Quando Secrets Manager avvia la modifica periodica, utilizza le credenziali fornite dall'utente per creare un utente clone con gli stessi privilegi e una password differente. Quindi, il servizio comunica le informazioni dell'utente clone a database e applicazioni, recuperando le credenziali del database. Per ulteriori informazioni sulla modifica periodica delle chiavi, consulta il documento Guida per la modifica programmata di AWS Secrets Manager

No. L'autenticazione ha luogo quando la connessione è già stata stabilita. Quando AWS Secrets Manager apporta una modifica periodica alle credenziali di un database, la connessione aperta con il database non viene autenticata nuovamente.

È possibile configurare Amazon CloudWatch Events in modo da ricevere una notifica quando AWS Secrets Manager modifica una chiave segreta. Per visualizzare quando si è verificata l'ultima modifica periodica, è anche possibile utilizzare le API o la console del servizio.

Sicurezza

AWS Secrets Manager crittografa le chiavi segrete su disco con chiavi di crittografia gestibili manualmente tramite AWS Key Management Service (KMS). Inoltre, è possibile controllare l'accesso alle chiavi segrete utilizzando le policy di AWS Identity and Access Management (IAM). Quando viene utilizzata una chiave segreta, Secrets Manager la decrittografa e la trasmette in modo sicuro all'ambiente locale utilizzando il protocollo TLS. Di default, Secrets Manager non memorizza nella cache né scrive su storage persistente la chiave segreta.

Per controllare le autorizzazioni di utenti e applicazioni a utilizzare o gestire chiavi segrete specifiche, è possibile utilizzare le policy di AWS Identity and Access Management (IAM). Ad esempio, è possibile creare una policy che permette ai soli sviluppatori l'utilizzo delle chiavi segrete necessarie per accedere all'ambiente di sviluppo. Per ulteriori informazioni, consulta il documento Controllo degli accessi e dell'autenticazione per AWS Secrets Manager.

AWS Secrets Manager si avvale di crittografia di tipo envelope (l'algoritmo AES a 256 bit) e AWS Key Management Service (KMS).

Al primo utilizzo di Secrets Manager, è possibile indicare le chiavi AWS KMS con cui procedere alla crittografia. Se non viene specificata alcuna chiave KMS, Secrets Manager creerà automaticamente chiavi AWS KMS predefinite per l'account. Quando viene memorizzata una chiave segreta, Secrets Manager richiede da KMS una chiave dati in testo semplice e una crittografata. Secrets manager utilizza la chiave dati in testo semplice per crittografare la chiave segreta in memoria. AWS Secrets Manager memorizza e gestisce la chiave segreta crittografata e la chiave dati crittografata. Quando è necessario utilizzare una chiave segreta, Secrets Manager decrittografa la chiave dati (utilizzando le chiavi predefinite di AWS KMS) e usa la chiave dati in testo semplice per decrittografare la chiave segreta. La chiave dati viene memorizzata crittografata e non viene mai scritta su disco in testo semplice. Inoltre, Secrets Manager non memorizza nella cache né scrive su storage persistente la chiave segreta in testo semplice.

Fatturazione

I costi di Secrets Manager si basano sull'uso effettivo delle risorse e non prevedono tariffe minime. L'utilizzo del servizio non richiede alcun impegno di lungo termine né costi di configurazione. Alla fine del mese, verrà addebitato sulla carta di credito il costo delle risorse utilizzate in quel mese. I costi addebitati dipendono dal numero di chiavi segrete memorizzate e di richieste API inoltrate al servizio ogni mese.

Per ulteriori informazioni sui prezzi del servizio, consultare la pagina dei prezzi di AWS Secrets Manager.

Sì, è possibile provare AWS Secrets Manager senza alcun costo per 30 giorni. La prova gratuita permette di modificare, gestire e utilizzare le chiavi segrete per un periodo di 30 giorni. Il periodo di prova inizia al momento della memorizzazione della prima chiave segreta.