Aspectos generales
¿Qué es AWS Secrets Manager?
AWS Secrets Manager es un servicio de administración de datos confidenciales que lo ayuda a proteger el acceso a sus aplicaciones, servicios y recursos de TI. El servicio le permite alternar, administrar y recuperar fácilmente credenciales de bases de datos, claves de API y otros datos confidenciales durante todo su ciclo de vida. Con Secrets Manager, puede proteger y administrar los datos confidenciales utilizados para acceder a los recursos en la nube de AWS, en servicios de terceros y localmente.
¿Por qué debería usar AWS Secrets Manager?
AWS Secrets Manager protege el acceso a sus aplicaciones, servicios y recursos de TI, sin la inversión inicial y los costos de mantenimiento continuos del funcionamiento de su propia infraestructura.
Secrets Manager es para aquellos administradores de TI que buscan un método seguro y escalable para almacenar y administrar datos confidenciales. Los administradores de seguridad responsables de cumplir con los requisitos normativos y de conformidad pueden usar Secrets Manager para monitorear datos confidenciales y rotarlos sin riesgo de afectar a las aplicaciones. Los desarrolladores que quieran reemplazar los datos confidenciales codificados en sus aplicaciones pueden recuperar estos datos confidenciales mediante programación desde Secrets Manager.
¿Qué puedo hacer con AWS Secrets Manager?
AWS Secrets Manager le permite almacenar, recuperar, controlar el acceso, rotar, auditar y monitorear datos confidenciales de manera central.
Puede cifrar datos confidenciales en reposo para reducir la probabilidad de que usuarios no autorizados los vean. Para recuperarlos, simplemente reemplace los datos confidenciales en texto sin formato en sus aplicaciones por un código para obtener esos datos confidenciales mediante programación con las API de Secrets Manager. Puede usar las políticas de AWS Identity and Access Management (IAM) para controlar qué usuarios y aplicaciones pueden acceder a estos datos confidenciales. Puede rotar las contraseñas, de manera programada o bajo demanda, para los tipos de bases de datos compatibles alojados en AWS, sin riesgo de alterar las aplicaciones. Puede ampliar esta funcionalidad para rotar otros datos confidenciales, como contraseñas para bases de datos Oracle alojadas en tokens de actualización de Amazon EC2 o OAuth, modificando las funciones de muestra de Lambda. También puede auditar y monitorizar datos confidenciales porque Secrets Manager se integra con AWS CloudTrail, Amazon CloudWatch y Amazon Simple Notification Service (Amazon SNS).
¿Qué datos confidenciales puedo administrar en AWS Secrets Manager?
Puede administrar credenciales de base de datos, de recursos locales y de aplicaciones SaaS, claves de API de terceros y de Secure Shell (SSH). Secrets Manager le permite almacenar un documento JSON que le permite administrar cualquier extensión de texto de 64 KB o menos.
¿Qué datos confidenciales puedo rotar en AWS Secrets Manager?
Puede rotar de forma nativa las credenciales para Amazon Relational Database Service (RDS), Amazon DocumentDB y Amazon Redshift. Puede ampliar Secrets Manager para rotar otros datos confidenciales, como credenciales para bases de datos Oracle alojadas en EC2 o tokens de actualización de OAuth, modificando las funciones de muestra de AWS Lambda disponibles en la documentación de Secrets Manager.
¿Cómo puede mi aplicación usar estos datos confidenciales?
En primer lugar, debe escribir una política de AWS Identity and Access Management (IAM) que permita que su aplicación acceda a datos confidenciales específicos. Luego, en el código fuente de la aplicación, puede reemplazar los datos confidenciales en texto sin formato con códigos para recuperarlos mediante programación con las API de Secrets Manager. Para obtener los detalles y ejemplos completos, consulte la Guía de usuario de AWS Secrets Manager.
¿Cómo puedo comenzar a utilizar AWS Secrets Manager?
Para comenzar con AWS Secrets Manager:
- Identifique sus datos confidenciales y ubique dónde se usan en sus aplicaciones.
- Inicie sesión en la Consola de administración de AWS con sus credenciales de AWS y vaya a la consola de Secrets Manager.
- Use la consola de Secrets Manager para cargar el dato confidencial que identificó. Otra opción es usar el SDK o la CLI de AWS para cargar el dato confidencial (una vez por dato). También puede escribir un script para cargar múltiples datos confidenciales.
- Si los datos confidenciales aún no están en uso, siga las instrucciones en la consola para configurar la rotación automática. Si las aplicaciones utilizan sus datos confidenciales, complete los pasos (5) y (6) antes de configurar la rotación automática.
- Si otros usuarios o aplicaciones necesitan recuperarlo, escriba una política de IAM para otorgar permisos para acceder al dato confidencial.
- Actualice sus aplicaciones para recuperar datos confidenciales de Secrets Manager.
¿En qué regiones se encuentra disponible AWS Secrets Manager?
Visite la Tabla de regiones de AWS para consultar la disponibilidad actual por regiones de los servicios de AWS.
Rotación
¿Cómo implementa AWS Secrets Manager la rotación de credenciales de la base de datos sin afectar las aplicaciones?
AWS Secrets Manager le permite configurar la rotación de credenciales de la base de datos de manera programada. Esto le permite seguir las prácticas recomendadas de seguridad y rotar las credenciales de sus bases de datos de forma segura. Cuando Secrets Manager inicia una rotación, utiliza las credenciales de superusuario de la base de datos que entregó usted para crear un usuario clonado con los mismos privilegios, pero con una contraseña diferente. Secrets Manager luego comunica la información del usuario clonado a la bases de datos y a las aplicaciones que recuperan las credenciales de la base de datos. Para obtener más información sobre la rotación, consulte la Guía de rotación de AWS Secrets Manager.
¿La rotación de credenciales de la base de datos afectará las conexiones abiertas?
No. La autenticación ocurre cuando se establece una conexión. Cuando AWS Secrets Manager rota la credencial de una base de datos, la conexión abierta de la base de datos no se vuelve a autenticar.
¿Cómo sé cuándo AWS Secrets Manager rota la credencial de la base de datos?
Puede configurar Amazon CloudWatch Events para recibir una notificación cuando AWS Secrets Manager rota un dato confidencial. También puede ver cuándo Secrets Manager lo modificó por última vez utilizando la consola o las API de Secrets Manager.
Seguridad
¿De que forma AWS Secrets Manager protege mis datos confidenciales?
AWS Secrets Manager cifra en reposo utilizando claves de cifrado que posee y almacena en AWS Key Management Service (KMS). Puede controlar el acceso a los datos confidenciales a través de las políticas de AWS Identity and Access Management (IAM). Cuando recupera un dato confidencial, Secrets Manager lo descifra y lo transmite de forma segura a través de TLS a su entorno local. De forma predeterminada, Secrets Manager no escribe ni almacena en caché un dato confidencial para almacenamiento persistente.
¿Quién puede usar y administrar datos confidenciales en AWS Secrets Manager?
Puede utilizar las políticas de AWS Identity and Access Management (IAM) para controlar los permisos de acceso de usuarios y aplicaciones para recuperar o administrar datos confidenciales específicos. Por ejemplo, puede crear una política que solo permita a los desarrolladores recuperar los datos confidenciales utilizados para el entorno de desarrollo. Para obtener más información, visite Authentication and Access Control para AWS Secrets Manager.
¿De qué forma AWS Secrets Manager cifra mis datos confidenciales?
AWS Secrets Manager utiliza el cifrado de sobre (algoritmo de cifrado AES-256) para cifrar sus datos confidenciales en AWS Key Management Service (KMS).
Cuando utiliza Secrets Manager por primera vez, puede especificar las claves de AWS KMS para cifrar los datos confidenciales. Si no proporciona una clave de KMS, Secrets Manager crea de forma automática las claves predeterminadas de AWS KMS para su cuenta. Cuando se almacena un dato confidencial, Secrets Manager solicita una clave en texto sin formato y una de datos cifrados a KMS. Secrets Manager utiliza la clave de datos de texto sin formato para cifrar el dato confidencial en la memoria. AWS Secrets Manager almacena y mantiene la clave de datos cifrados y el dato confidencial cifrado. Cuando recupera un dato confidencial, Secrets Manager descifra la clave de datos (utilizando las claves predeterminadas de AWS KMS) y utiliza la clave de datos de texto sin formato para descifrar el dato confidencial. La clave de datos se almacena cifrada y nunca se escribe en un disco como texto sin formato. Además, Secrets Manager no escribe ni almacena en caché un dato confidencial para almacenamiento persistente.
Facturación
¿Cómo se me cobrará y facturará por el uso que haga de AWS Secrets Manager?
Con Secrets Manager, solo paga por lo que usa y no hay ninguna tarifa mínima. No se requieren tarifas establecidas ni compromisos para comenzar a utilizar el servicio. A final de mes, se le cobrará automáticamente en su tarjeta de crédito el uso de ese mes. Se le cobra por la cantidad de datos confidenciales que almacena y por las solicitudes de API realizadas al servicio por mes.
Para obtener información sobre los precios actuales, visite la página de Precios de AWS Secrets Manager.
¿Hay una prueba gratuita?
Sí, puede probar Secrets Manager sin cargo adicional a través de la versión de prueba gratuita de 30 días de AWS Secrets Manager. La versión de prueba gratuita le permite rotar, administrar y recuperar datos confidenciales durante un período de 30 días. La prueba gratuita comienza cuando almacena su primer dato confidencial.