Quick Answer
O AWS Secrets Manager armazena, criptografa e alterna automaticamente credenciais confidenciais, como senhas de banco de dados, chaves de API e tokens. Ele elimina a necessidade de codificar segredos no código do seu aplicativo, fornecendo acesso seguro e baseado em API às credenciais em tempo de execução. Como o Secrets Manager armazena e criptografa segredos? Todos os segredos armazenados no Secrets Manager são criptografados em repouso usando chaves de criptografia AWS KMS (Key Management Service). Ao criar um segredo, você fornece o valor confidencial (uma senha, uma string de conexão ou um blob JSON) e o Secrets Manager o criptografa antes de armazená-lo. Você pode usar a chave padrão gerenciada pela AWS ou especificar sua própria chave KMS gerenciada pelo cliente para obter controle adicional. O acesso é controlado por meio de políticas do IAM. Somente usuários, funções e aplicativos autorizados podem recuperar segredos.
Key Topics Covered
O AWS Secrets Manager armazena, criptografa e alterna automaticamente credenciais confidenciais, como senhas de banco de dados, chaves de API e tokens. Ele elimina a necessidade de codificar segredos no código do seu aplicativo, fornecendo acesso seguro e baseado em API às credenciais em tempo de execução.
Como o Secrets Manager armazena e criptografa segredos?
Todos os segredos armazenados no Secrets Manager são criptografados em repouso usando chaves de criptografia AWS KMS (Key Management Service). Ao criar um segredo, você fornece o valor confidencial (uma senha, uma string de conexão ou um blob JSON) e o Secrets Manager o criptografa antes de armazená-lo. Você pode usar a chave padrão gerenciada pela AWS ou especificar sua própria chave KMS gerenciada pelo cliente para obter controle adicional.
O acesso é controlado por meio de políticas do IAM. Somente usuários, funções e aplicativos autorizados podem recuperar segredos. Cada tentativa de acesso é registrada no AWS CloudTrail, criando uma trilha de auditoria completa.
Como funciona a rotação automática de segredos?
O Secrets Manager pode alternar credenciais automaticamente de acordo com uma programação definida por você, sem exigir tempo de inatividade do aplicativo. A rotação usa uma função Lambda que gera uma nova credencial, atualiza-a no Secrets Manager e no serviço de destino (como um banco de dados RDS) e verifica se a nova credencial funciona antes de descontinuar a antiga.
O suporte de rotação integrado está disponível para Amazon RDS, Amazon Redshift e Amazon DocumentDB. Para outros serviços, você pode escrever funções de rotação Lambda personalizadas.
Precisa de ajuda com cloud?
Agende uma reunião gratuita de 30 minutos com um dos nossos especialistas em cloud. Analisamos a sua necessidade e damos recomendações concretas — sem compromisso.
Como os aplicativos recuperam segredos?
Os aplicativos chamam a API do Secrets Manager em tempo de execução para recuperar o valor do segredo atual, em vez de ler credenciais de arquivos de configuração ou variáveis de ambiente. O fluxo típico é:
- O aplicativo chama a API
GetSecretValuecom o nome secreto - O Secrets Manager verifica as permissões do IAM
- Se autorizado, o valor secreto descriptografado será retornado
- O aplicativo usa a credencial para se conectar ao serviço de destino
Os SDKs estão disponíveis para Python, Java, Node.js, Go, .NET e outras linguagens. As bibliotecas de cache reduzem as chamadas de API e a latência para segredos acessados com frequência.
Quanto custa o Secrets Manager?
O preço é baseado no número de segredos armazenados (US$ 0,40/segredo/mês) e chamadas de API (US$ 0,05 por 10.000 chamadas). Não há cobrança para segredos criados e excluídos no mesmo dia, o que é útil durante o desenvolvimento e os testes.
Para organizações que gerenciam várias contas e serviços da AWS, os serviços de segurança de TI podem projetar e implementar uma estratégia de gerenciamento de segredos que inclui políticas de rotação, governança de acesso e monitoramento contínuo do uso de credenciais.
Written By
Country Manager, Sweden at Opsio
Johan leads Opsio's Sweden operations, driving AI adoption, DevOps transformation, security strategy, and cloud solutioning for Nordic enterprises. With 12+ years in enterprise cloud infrastructure, he has delivered 200+ projects across AWS, Azure, and GCP — specialising in Well-Architected reviews, landing zone design, and multi-cloud strategy.
Editorial standards: Este artigo foi escrito por profissionais cloud e revisto pela nossa equipa de engenharia. Atualizamos o conteúdo trimestralmente. A Opsio mantém independência editorial.