Quick Answer
AWS Secrets Manager bewaart, codeert en roteert automatisch gevoelige inloggegevens zoals databasewachtwoorden, API-sleutels en tokens. Het elimineert de noodzaak om geheimen in uw applicatiecode hard te coderen door veilige, API-gebaseerde toegang tot inloggegevens tijdens runtime te bieden. Hoe bewaart en versleutelt Secrets Manager geheimen? Elk geheim dat is opgeslagen in Secrets Manager wordt in rust versleuteld met behulp van AWS KMS (Key Management Service)-versleutelingssleutels. Wanneer u een geheim aanmaakt, geeft u de gevoelige waarde op (een wachtwoord, verbindingsreeks of JSON-blob), en Secrets Manager versleutelt het voordat het wordt opgeslagen. U kunt de standaard door AWS beheerde sleutel gebruiken of uw eigen, door de klant beheerde KMS-sleutel opgeven voor extra controle. De toegang wordt beheerd via IAM-beleid: alleen geautoriseerde gebruikers, rollen en applicaties kunnen geheimen ophalen. Elke toegangspoging wordt geregistreerd in AWS CloudTrail, waardoor een volledige audittrail ontstaat. Hoe werkt automatische geheime rotatie?
AWS Secrets Manager bewaart, codeert en roteert automatisch gevoelige inloggegevens zoals databasewachtwoorden, API-sleutels en tokens. Het elimineert de noodzaak om geheimen in uw applicatiecode hard te coderen door veilige, API-gebaseerde toegang tot inloggegevens tijdens runtime te bieden.
Hoe bewaart en versleutelt Secrets Manager geheimen?
Elk geheim dat is opgeslagen in Secrets Manager wordt in rust versleuteld met behulp van AWS KMS (Key Management Service)-versleutelingssleutels. Wanneer u een geheim aanmaakt, geeft u de gevoelige waarde op (een wachtwoord, verbindingsreeks of JSON-blob), en Secrets Manager versleutelt het voordat het wordt opgeslagen. U kunt de standaard door AWS beheerde sleutel gebruiken of uw eigen, door de klant beheerde KMS-sleutel opgeven voor extra controle.
De toegang wordt beheerd via IAM-beleid: alleen geautoriseerde gebruikers, rollen en applicaties kunnen geheimen ophalen. Elke toegangspoging wordt geregistreerd in AWS CloudTrail, waardoor een volledige audittrail ontstaat.
Hoe werkt automatische geheime rotatie?
Secrets Manager kan automatisch inloggegevens rouleren volgens een door u gedefinieerd schema, zonder dat hiervoor downtime van de applicatie nodig is. Rotatie maakt gebruik van een Lambda-functie die een nieuwe inloggegevens genereert, deze bijwerkt in zowel Secrets Manager als de doelservice (zoals een RDS-database) en verifieert dat de nieuwe inloggegevens werken voordat de oude buiten gebruik wordt gesteld.
Ingebouwde rotatieondersteuning is beschikbaar voor Amazon RDS, Amazon Redshift en Amazon DocumentDB. Voor andere services kunt u aangepaste Lambda-rotatiefuncties schrijven.
Hulp nodig met cloud?
Plan een gratis 30-minuten gesprek met een van onze cloud-specialisten. We analyseren uw behoefte en geven concrete aanbevelingen — geheel vrijblijvend.
Hoe halen applicaties geheimen op?
Toepassingen roepen tijdens runtime de Secrets Manager API aan om de huidige geheime waarde op te halen, in plaats van inloggegevens te lezen uit configuratiebestanden of omgevingsvariabelen. De typische stroom is:
- Applicatie roept
GetSecretValueAPI aan met de geheime naam - Secrets Manager verifieert IAM-rechten
- Indien geautoriseerd, wordt de gedecodeerde geheime waarde geretourneerd
- De applicatie gebruikt de inloggegevens om verbinding te maken met de doelservice
SDK's zijn beschikbaar voor Python, Java, Node.js, Go, .NET en andere talen. Cachingbibliotheken verminderen API-aanroepen en latentie voor veelgebruikte geheimen.
Wat kost Secrets Manager?
De prijs is gebaseerd op het aantal opgeslagen geheimen ($0,40/geheim/maand) en API-aanroepen ($0,05 per 10.000 oproepen). Er worden geen kosten in rekening gebracht voor geheimen die op dezelfde dag worden gemaakt en verwijderd, wat handig is tijdens het ontwikkelen en testen.
Voor organisaties die meerdere AWS-accounts en -services beheren, kunnen de IT-beveiligingsservices van Opsio een strategie voor geheimbeheer ontwerpen en implementeren die rotatiebeleid, toegangsbeheer en doorlopende monitoring van het gebruik van inloggegevens omvat.
Written By
Country Manager, Zweden
Johan leidt Opsio's activiteiten in Zweden en stuurt AI-adoptie, DevOps-transformatie, beveiligingsstrategie en cloudoplossingen voor Noordse ondernemingen. Met meer dan 12 jaar ervaring in cloudinfrastructuur heeft hij meer dan 200 projecten opgeleverd op AWS, Azure en GCP — gespecialiseerd in Well-Architected-reviews, landing zone-ontwerp en multi-cloud-strategie.
Editorial standards: Dit artikel is geschreven door cloudpraktijkmensen en beoordeeld door ons engineeringteam. We actualiseren de inhoud per kwartaal voor technische nauwkeurigheid. Opsio bewaart redactionele onafhankelijkheid.