Quick Answer
AWS Secrets Manager archivia, crittografa e ruota automaticamente credenziali sensibili come password di database , chiavi API e token. Elimina la necessità di codificare i segreti nel codice dell'applicazione fornendo un accesso sicuro e basato su API alle credenziali in fase di runtime. In che modo Secrets Manager archivia e crittografa i segreti? Ogni segreto archiviato in Secrets Manager viene crittografato quando inattivo utilizzando le chiavi di crittografia AWS KMS (Key Management Service). Quando crei un segreto, fornisci il valore sensibile (una password, una stringa di connessione o un BLOB JSON) e Secrets Manager lo crittografa prima dell'archiviazione. Puoi utilizzare la chiave gestita da AWS predefinita o specificare la tua chiave KMS gestita dal cliente per un ulteriore controllo. L'accesso è controllato tramite policy IAM: solo gli utenti, i ruoli e le applicazioni autorizzati possono recuperare i segreti. Ogni tentativo di accesso viene registrato in AWS CloudTrail, creando un audit trail completo.
Key Topics Covered
AWS Secrets Manager archivia, crittografa e ruota automaticamente credenziali sensibili come password di database, chiavi API e token. Elimina la necessità di codificare i segreti nel codice dell'applicazione fornendo un accesso sicuro e basato su API alle credenziali in fase di runtime.
In che modo Secrets Manager archivia e crittografa i segreti?
Ogni segreto archiviato in Secrets Manager viene crittografato quando inattivo utilizzando le chiavi di crittografia AWS KMS (Key Management Service). Quando crei un segreto, fornisci il valore sensibile (una password, una stringa di connessione o un BLOB JSON) e Secrets Manager lo crittografa prima dell'archiviazione. Puoi utilizzare la chiave gestita da AWS predefinita o specificare la tua chiave KMS gestita dal cliente per un ulteriore controllo.
L'accesso è controllato tramite policy IAM: solo gli utenti, i ruoli e le applicazioni autorizzati possono recuperare i segreti. Ogni tentativo di accesso viene registrato in AWS CloudTrail, creando un audit trail completo.
Come funziona la rotazione segreta automatica?
Secrets Manager può ruotare automaticamente le credenziali in base a una pianificazione definita, senza richiedere tempi di inattività dell'applicazione. La rotazione utilizza una funzione Lambda che genera una nuova credenziale, la aggiorna sia in Secrets Manager che nel servizio di destinazione (come un database RDS) e verifica che la nuova credenziale funzioni prima di ritirare quella vecchia.
Il supporto della rotazione integrato è disponibile per Amazon RDS, Amazon Redshift e Amazon DocumentDB. Per altri servizi, puoi scrivere funzioni di rotazione Lambda personalizzate.
Hai bisogno di aiuto con cloud?
Prenota un incontro gratuito di 30 minuti con uno dei nostri specialisti in cloud. Analizziamo le tue esigenze e forniamo raccomandazioni concrete — nessun obbligo.
In che modo le applicazioni recuperano i segreti?
Le applicazioni chiamano l'API Secrets Manager in fase di runtime per recuperare il valore segreto corrente, anziché leggere le credenziali dai file di configurazione o dalle variabili di ambiente. Il flusso tipico è:
- L'applicazione chiama l'API
GetSecretValuecon il nome del segreto - Gestione segreti verifica le autorizzazioni IAM
- Se autorizzato, viene restituito il valore segreto decrittografato
- L'applicazione utilizza le credenziali per connettersi al servizio di destinazione
Gli SDK sono disponibili per Python, Java, Node.js, Go, .NET e altri linguaggi. Le librerie di memorizzazione nella cache riducono le chiamate API e la latenza per i segreti a cui si accede frequentemente.
Quanto costa Secrets Manager?
I prezzi si basano sul numero di segreti archiviati ($ 0,40/segreto/mese) e di chiamate API ($ 0,05 per 10.000 chiamate). Non sono previsti costi per i segreti creati ed eliminati nello stesso giorno, il che è utile durante lo sviluppo e il test.
Per le organizzazioni che gestiscono più account e servizi AWS, i servizi di sicurezza IT di Opsio possono progettare e implementare una strategia di gestione dei segreti che include policy di rotazione, governance degli accessi e monitoraggio continuo dell'utilizzo delle credenziali.
Written By
Country Manager, Sweden at Opsio
Johan leads Opsio's Sweden operations, driving AI adoption, DevOps transformation, security strategy, and cloud solutioning for Nordic enterprises. With 12+ years in enterprise cloud infrastructure, he has delivered 200+ projects across AWS, Azure, and GCP — specialising in Well-Architected reviews, landing zone design, and multi-cloud strategy.
Editorial standards: This article was written by cloud practitioners and peer-reviewed by our engineering team. We update content quarterly for technical accuracy. Opsio maintains editorial independence.