Quick Answer
AWS Secrets Manager archivia, crittografa e ruota automaticamente credenziali sensibili come password di database , chiavi API e token. Elimina la necessità di codificare i segreti nel codice dell'applicazione fornendo un accesso sicuro e basato su API alle credenziali in fase di runtime. In che modo Secrets Manager archivia e crittografa i segreti? Ogni segreto archiviato in Secrets Manager viene crittografato quando inattivo utilizzando le chiavi di crittografia AWS KMS (Key Management Service). Quando crei un segreto, fornisci il valore sensibile (una password, una stringa di connessione o un BLOB JSON) e Secrets Manager lo crittografa prima dell'archiviazione. Puoi utilizzare la chiave gestita da AWS predefinita o specificare la tua chiave KMS gestita dal cliente per un ulteriore controllo. L'accesso è controllato tramite policy IAM: solo gli utenti, i ruoli e le applicazioni autorizzati possono recuperare i segreti. Ogni tentativo di accesso viene registrato in AWS CloudTrail, creando un audit trail completo.
AWS Secrets Manager archivia, crittografa e ruota automaticamente credenziali sensibili come password di database, chiavi API e token. Elimina la necessità di codificare i segreti nel codice dell'applicazione fornendo un accesso sicuro e basato su API alle credenziali in fase di runtime.
In che modo Secrets Manager archivia e crittografa i segreti?
Ogni segreto archiviato in Secrets Manager viene crittografato quando inattivo utilizzando le chiavi di crittografia AWS KMS (Key Management Service). Quando crei un segreto, fornisci il valore sensibile (una password, una stringa di connessione o un BLOB JSON) e Secrets Manager lo crittografa prima dell'archiviazione. Puoi utilizzare la chiave gestita da AWS predefinita o specificare la tua chiave KMS gestita dal cliente per un ulteriore controllo.
L'accesso è controllato tramite policy IAM: solo gli utenti, i ruoli e le applicazioni autorizzati possono recuperare i segreti. Ogni tentativo di accesso viene registrato in AWS CloudTrail, creando un audit trail completo.
Come funziona la rotazione segreta automatica?
Secrets Manager può ruotare automaticamente le credenziali in base a una pianificazione definita, senza richiedere tempi di inattività dell'applicazione. La rotazione utilizza una funzione Lambda che genera una nuova credenziale, la aggiorna sia in Secrets Manager che nel servizio di destinazione (come un database RDS) e verifica che la nuova credenziale funzioni prima di ritirare quella vecchia.
Il supporto della rotazione integrato è disponibile per Amazon RDS, Amazon Redshift e Amazon DocumentDB. Per altri servizi, puoi scrivere funzioni di rotazione Lambda personalizzate.
Hai bisogno di aiuto con cloud?
Prenota un incontro gratuito di 30 minuti con uno dei nostri specialisti in cloud. Analizziamo le tue esigenze e forniamo raccomandazioni concrete — nessun obbligo.
In che modo le applicazioni recuperano i segreti?
Le applicazioni chiamano l'API Secrets Manager in fase di runtime per recuperare il valore segreto corrente, anziché leggere le credenziali dai file di configurazione o dalle variabili di ambiente. Il flusso tipico è:
- L'applicazione chiama l'API
GetSecretValuecon il nome del segreto - Gestione segreti verifica le autorizzazioni IAM
- Se autorizzato, viene restituito il valore segreto decrittografato
- L'applicazione utilizza le credenziali per connettersi al servizio di destinazione
Gli SDK sono disponibili per Python, Java, Node.js, Go, .NET e altri linguaggi. Le librerie di memorizzazione nella cache riducono le chiamate API e la latenza per i segreti a cui si accede frequentemente.
Quanto costa Secrets Manager?
I prezzi si basano sul numero di segreti archiviati ($ 0,40/segreto/mese) e di chiamate API ($ 0,05 per 10.000 chiamate). Non sono previsti costi per i segreti creati ed eliminati nello stesso giorno, il che è utile durante lo sviluppo e il test.
Per le organizzazioni che gestiscono più account e servizi AWS, i servizi di sicurezza IT di Opsio possono progettare e implementare una strategia di gestione dei segreti che include policy di rotazione, governance degli accessi e monitoraggio continuo dell'utilizzo delle credenziali.
Written By
Country Manager, Svezia
Johan guida le operazioni di Opsio in Svezia, promuovendo l'adozione dell'IA, la trasformazione DevOps, la strategia di sicurezza e le soluzioni cloud per le aziende nordiche. Con oltre 12 anni di esperienza nell'infrastruttura cloud, ha realizzato più di 200 progetti su AWS, Azure e GCP — specializzandosi in revisioni Well-Architected, progettazione di landing zone e strategia multi-cloud.
Editorial standards: Questo articolo è stato scritto da professionisti cloud e revisionato dal nostro team di ingegneria. Aggiorniamo i contenuti trimestralmente per garantirne l'accuratezza tecnica. Opsio mantiene l'indipendenza editoriale.