AMAZON Secrets Manager

AWS Secrets Manager позволяет защищать конфиденциальные данные, используемые для доступа к приложениям, сервисам и ИТ‑ресурсам. Сервис предоставляет возможность простой ротации и извлечения данных для доступа к БД, ключей API и других конфиденциальных данных, а также управления ими на протяжении всего жизненного цикла. Пользователи и приложения извлекают данные для доступа с помощью вызова API сервиса AWS Secrets Manager, что избавляет от необходимости указывать в коде конфиденциальные данные в текстовом формате. В целях ротации конфиденциальных данных для доступа AWS Secrets Manager поддерживает встроенную интеграцию с Amazon RDS для MySQL, PostgreSQL и Amazon Aurora. Кроме того, сервис предусматривает возможность расширения для работы с другими типами конфиденциальных данных, включая ключи API и токены OAuth. AWS Secrets Manager также позволяет управлять доступом к конфиденциальным данным за счет точной настройки разрешений и осуществлять централизованный контроль ротации данных для доступа к ресурсам, расположенным в облаке AWS, в сервисах сторонних поставщиков или локально. ВОЗМОЖНОСТИ: Безопасное хранение конфиденциальных данных AWS Secrets Manager выполняет шифрование конфиденциальных данных при хранении с помощью принадлежащих пользователю ключей шифрования, которые хранятся в AWS Key Management Service (KMS). При извлечении конфиденциальных данных Secrets Manager дешифрует их и передает по безопасному соединению TLS в локальную среду пользователя. По умолчанию Secrets Manager не записывает конфиденциальные данные в постоянное хранилище и не кэширует их. Управлять доступом к конфиденциальным данным можно с помощью точно настроенных политик сервиса AWS Identity and Access Management (IAM). Автоматическая ротация конфиденциальных данных без нарушения работы приложений Благодаря AWS Secrets Manager можно осуществлять ротацию конфиденциальных данных по расписанию или по требованию с помощью консоли Secrets Manager, AWS SDK или интерфейса командной строки AWS. К примеру, для ротации пароля БД при сохранении его в Secrets Manager необходимо указать тип БД, периодичность ротации и данные главного пользователя для доступа к БД. Чтобы осуществлять ротацию других конфиденциальных данных, можно расширить функциональные возможности сервиса, изменив предоставленные образцы функций Lambda. Например, можно выполнять ротацию обновляемых токенов OAuth, которые используются для авторизации приложений, или паролей для БД MySQL, размещенной локально. После замены жестко заданных учетных данных на соответствующий код пользователи и приложения извлекают нужные данные посредством вызова API Secrets Manager, что позволяет автоматизировать ротацию конфиденциальных данных без прерывания работы приложений. Программное извлечение конфиденциальных данных Хранить и извлекать конфиденциальные данные можно с помощью консоли AWS Secrets Manager, AWS SDK или интерфейса командной строки AWS. Чтобы извлечь учетные данные, необходимо просто заменить в приложениях данные для доступа, указанные как текст, на специальный код, позволяющий извлекать эти данные программно с помощью API Secrets Manager. Secrets Manager предоставляет образцы кода для вызова API Secrets Manager. Аудит и мониторинг использования конфиденциальных данных AWS Secrets Manager позволяет осуществлять аудит и мониторинг конфиденциальных данных благодаря интеграции с сервисами AWS для ведения журналов, мониторинга и уведомлений. Например, после включения AWS CloudTrail для соответствующего региона AWS можно проверить, когда выполняется хранение или ротация конфиденциальных данных, просмотрев журналы AWS CloudTrail. Аналогичным образом можно настроить Amazon CloudWatch, чтобы с помощью Amazon Simple Notification Service получать сообщения электронной почты, если конфиденциальные данные не используются в течение определенного периода времени, или настроить Amazon CloudWatch Events, чтобы получать push-уведомления при ротации конфиденциальных данных сервисом Secrets Manager. ЦЕНЫ: AWS Secrets Manager позволяет осуществлять ротацию и управление конфиденциальными данными, а также извлечение их на протяжении всего жизненного цикла, упрощая поддержку безопасной среды, которая обеспечивает соответствие требованиям и внутренним стандартам безопасности. При использовании Secrets Manager начисляется плата по количеству сохраненных конфиденциальных данных и выполненных вызовов API. Авансовые платежи и долгосрочные обязательства не требуются. Плата начисляется по факту использования, без затрат на инфраструктуру, лицензирование и персонал, необходимый для обеспечения надежности хранения и высокой доступности конфиденциальных данных. 30-дневный пробный период Сервис AWS Secrets Manager доступен в виде бесплатной 30-дневной пробной версии. Бесплатная пробная версия позволяет осуществлять ротацию конфиденциальных данных, управлять ими и извлекать их в течение 30 дней. Период использования бесплатной пробной версии начинается при сохранении первой единицы конфиденциальных данных. За единицу конфиденциальных данных в месяц 0,40 USD за единицу конфиденциальных данных в месяц. Для конфиденциальных данных, которые хранятся менее месяца, цена пересчитывается пропорционально (по количеству часов). За 10 000 вызовов API 0,05 USD за 10 000 вызовов API. ПРЕИМУЩЕСТВА: Безопасная ротация данных для доступа AWS Secrets Manager позволяет осуществлять безопасную ротацию конфиденциальных данных для доступа без развертывания кода. Это обеспечивает безопасность и соответствие требованиям. В частности, AWS Secrets Manager поддерживает встроенную интеграцию с Amazon RDS для MySQL, PostgreSQL и Amazon Aurora в целях автоматической ротации данных для доступа к этим БД без участия пользователя. С помощью функций Lambda можно настроить AWS Secrets Manager для ротации конфиденциальных данных других типов, в том числе ключей API и токенов OAuth, которые используются для аутентификации пользователей в мобильных приложениях. Данные для доступа всегда извлекаются из AWS Secrets Manager. Это гарантирует, что разработчики и приложения постоянно используют актуальную версию конфиденциальных данных. Управление доступом за счет точной настройки политик AWS Secrets Manager позволяет управлять доступом к конфиденциальным данным за счет точной настройки политик AWS Identity and Access Management (IAM). Можно, к примеру, создать политику, позволяющую разработчикам реализовать извлечение определенных конфиденциальных данных только для использования в среде разработки. Эта же политика может разрешать разработчикам извлечение паролей для рабочей среды только при условии, что запросы поступают из корпоративной ИТ‑сети. Для администратора базы данных можно создать политику, позволяющую управлять всеми данными для доступа к БД и разрешениями на чтение ключей SSH, необходимых для внесения изменений в операционную систему определенного инстанса, на котором размещена база данных. Централизованная защита и аудит конфиденциальных данных AWS Secrets Manager может обеспечивать защиту конфиденциальных данных с помощью шифрования. Управление ключами шифрования осуществляется с помощью AWS Key Management Service (KMS). Кроме того, AWS Secrets Manager интегрирован с сервисами мониторинга и ведения журналов в целях централизованного аудита. Например, можно проводить аудит журналов AWS CloudTrail для отслеживания ротации в AWS Secrets Manager данных для доступа или использовать сервис AWS CloudWatch Events, чтобы получать уведомления всякий раз, когда администратор удаляет конфиденциальные данные. Оплата по факту использования AWS Secrets Manager предусматривает оплату по факту использования. Плата начисляется по количеству записей конфиденциальных данных под управлением AWS Secrets Manager и количеству вызовов API сервиса AWS Secrets Manager. AWS Secrets Manager обеспечивает управление конфиденциальными данными с высокой доступностью без предварительных инвестиций и текущих расходов на обслуживание собственной инфраструктуры.