โครงร่างด่วน
บทความนี้นำเสนอข้อมูลเกี่ยวกับประเด็นต่อไปนี้:
- AWS Secret Manager คืออะไร
- จะแก้ไขความลับด้วย AWS Secret Manager โดยใช้คอนโซล AWS ได้อย่างไร
- เคล็ดลับโบนัส: คุณสมบัติหลักของ AWS Secret Manager
- บทสรุป
AWS Secret Manager คืออะไร
AWS Secret Manager ใช้เพื่อเข้ารหัสและรักษาความปลอดภัยข้อมูลที่เป็นความลับของแอปพลิเคชัน ข้อมูลที่เป็นความลับดังกล่าวรวมถึงข้อมูลรับรองฐานข้อมูล โทเค็น OAuth และคีย์ API นี้ ข้อมูล เรียกว่า “ความลับ” .
AWS Secret Manager มีประโยชน์อย่างมากสำหรับนักพัฒนาเมื่อพวกเขาไม่ต้องการจัดเก็บข้อมูลประจำตัวของตนไว้ในซอร์สโค้ดเพื่อความปลอดภัย เข้าถึงข้อมูลลับเหล่านี้ได้โดยการโทรรันไทม์ไปยัง Secret Manager ด้วยการใช้ Secret Manager นักพัฒนาสามารถป้องกันการประนีประนอมกับความปลอดภัยของแอปพลิเคชันได้
จะแก้ไขความลับด้วย AWS Secret Manager โดยใช้คอนโซล AWS ได้อย่างไร
ผู้ใช้สามารถปรับปรุงความปลอดภัยของความลับได้โดยใช้กำหนดการหมุนเวียนอัตโนมัติและ การปรับใช้ความลับเหล่านี้ในหลายภูมิภาค . ด้วย AWS Secret Manager ผู้ใช้สามารถจัดเก็บและรักษาความปลอดภัยความลับในคู่คีย์-ค่าหรือเอกสาร JSON เป็นที่น่าสังเกตว่าเอกสาร JSON ช่วยให้ผู้ใช้จัดการความลับขนาด 64 KB
เรียนรู้เพิ่มเติมเกี่ยวกับการจัดเก็บ Amazon RDS Credentials ใน AWS Secret Manager โดยอ้างอิงจากบทความนี้: “วิธีจัดเก็บข้อมูลรับรอง Amazon RDS โดยใช้ Secret Manager” .
มีหลายวิธีในการแก้ไขข้อมูลลับ บางส่วนมีดังนี้:
- วิธีที่ 1: อัปเดตค่าของข้อมูลลับ
- วิธีที่ 2: เปลี่ยนคีย์การเข้ารหัสลับของข้อมูลลับ
- วิธีที่ 3: เปลี่ยนแท็กของความลับ
- วิธีที่ 4: ลบความลับ
- วิธีที่ 5: กู้คืนความลับ
- วิธีที่ 6: เปลี่ยนคำอธิบายของความลับ
วิธีที่ 1: อัปเดตค่าของความลับ
เมื่อผู้ใช้อัปเดตค่าของข้อมูลลับ AWS จะแทนที่ป้ายกำกับของข้อมูลลับด้วย “AWSCURRENT” สามารถเข้าถึงเวอร์ชันเก่าของ Secret ได้ซึ่งมีป้ายกำกับ “สุดยอด” .
บน AWS แดชบอร์ดผู้จัดการความลับ , คลิกที่ ชื่อ ของความลับ:
เลื่อนลง อินเทอร์เฟซและค้นหา ส่วนค่าความลับ . ที่นี่คลิกที่ “สืบค้นค่าลับ” ปุ่ม:
อินเทอร์เฟซต่อไปนี้จะปรากฏขึ้น คลิกที่ 'แก้ไข' ปุ่มไปที่ เปลี่ยนค่า ของความลับ:
หน้าต่างป๊อปอัปจะปรากฏขึ้นให้คุณเห็น ที่หน้าต่างนี้ แก้ไขค่า ของความลับแล้วคลิก 'บันทึก' ปุ่ม:
คุณค่าลับที่ได้รับ ประสบความสำเร็จ อัปเดต:
วิธีที่ 2: เปลี่ยนค่าคีย์การเข้ารหัสลับของข้อมูลลับ
การเข้ารหัสช่วยเพิ่มความปลอดภัยและกรองการเข้าถึงข้อมูลลับ Secret Manager ใช้ Envelope Encryption กับ AWS KMS เพื่อปกป้องความลับ ตามค่าเริ่มต้น AWS จะจัดเตรียมไว้ให้ aws/secretmanager คีย์ที่ได้รับการจัดการซึ่งเป็นแนวทางปฏิบัติที่แนะนำ อย่างไรก็ตาม ผู้ใช้ยังสามารถใช้คีย์ที่จัดการโดยลูกค้าได้
บน AWS แดชบอร์ดผู้จัดการความลับ ให้เลือกข้อมูลลับที่คุณต้องการแก้ไขค่าคีย์การเข้ารหัส:
จากอินเทอร์เฟซที่แสดง ให้คลิกที่ “การกระทำ” ปุ่ม. นี่จะแสดงก เมนูแบบเลื่อนลง . คลิกที่ “แก้ไขคีย์เข้ารหัส” ตัวเลือก:
บน แก้ไขคีย์เข้ารหัส หน้าต่าง ผู้ใช้สามารถเลือกคีย์หรือสร้างคีย์ใหม่ได้โดยคลิกที่ “เพิ่มรหัสใหม่” ตัวเลือก. หลังจากแก้ไขค่าคีย์การเข้ารหัสแล้ว ให้คลิกที่ 'บันทึก' ปุ่มเพื่อใช้การเปลี่ยนแปลง:
AWS จะแสดงไฟล์ ข้อความยืนยัน ที่ระบุว่าอัปเดตค่าสำเร็จแล้ว:
วิธีที่ 3: เปลี่ยนแท็กของข้อมูลลับใน AWS Secret Manager
แท็กคือป้ายกำกับที่ประกอบด้วยคีย์ที่ผู้ใช้กำหนดและเป็นค่าเสริม ด้วยแท็ก ผู้ใช้สามารถจัดการ ค้นหา และกรองทรัพยากร AWS ได้อย่างง่ายดาย แท็กที่เกี่ยวข้องกับข้อมูลลับสามารถใช้เพื่ออนุญาตหรือปฏิเสธการเข้าถึงได้ โปรดทราบว่า AWS ปฏิบัติตามมาตรฐานสำหรับการแท็กทรัพยากร ขอแนะนำว่าผู้ใช้ควรใช้รูปแบบการตั้งชื่อมาตรฐาน และควรหลีกเลี่ยงการจัดเก็บข้อมูลที่ละเอียดอ่อนในแท็ก
หากต้องการเปลี่ยนแท็กของความลับ ให้แตะ ความลับ จาก ผู้จัดการความลับ AWS : :
จากอินเทอร์เฟซต่อไปนี้ ให้ค้นหาไฟล์ “แท็ก” ส่วน. ในส่วนนี้ ให้แตะ “แก้ไขแท็ก” ปุ่ม:
จัดให้มี คู่คีย์-ค่า สำหรับแท็กและกดที่ บันทึก ปุ่มเพื่อใช้การเปลี่ยนแปลง:
- เพิ่ม: หากต้องการเพิ่มหลายแท็กลงในข้อมูลลับ ให้คลิกปุ่ม 'เพิ่ม'
- ลบ: ในทำนองเดียวกัน หากต้องการลบแท็กที่มีอยู่ ให้แตะปุ่ม 'ลบ'
วิธีที่ 4: ลบความลับ
ข้อมูลลับมีความสำคัญอย่างยิ่งในการลบ ดังนั้น Secret Manager จะไม่ลบข้อมูลลับในทันที ผู้ใช้จะกำหนดเวลาการลบข้อมูลลับแทน ในช่วงเวลาที่กำหนด ข้อมูลลับจะยังคงไม่สามารถเข้าถึงได้
ในกรณีที่มีการจำลองข้อมูลลับ ผู้ใช้จะต้องลบข้อมูลลับแบบจำลองก่อน และหลังจากนั้น ข้อมูลลับหลักจะถูกลบ
หลังจากสร้างความลับแล้ว เลือกความลับ จากแดชบอร์ด Secret Manager:
อินเทอร์เฟซต่อไปนี้จะแสดงให้คุณเห็น คลิกที่ “การกระทำ” แท็บจากอินเทอร์เฟซ จาก เมนูแบบเลื่อนลง ของ แท็บ 'การกระทำ' ให้เลือก “ลบความลับ” ปุ่ม:
หน้าต่างป๊อปอัปจะปรากฏขึ้น ในหน้าต่างนี้ ผู้ใช้สามารถกำหนดเวลาการลบได้โดยระบุจำนวนวันระหว่างนั้น 7 ถึง 30 วัน ใน “ระยะเวลารอคอย” ส่วน. หลังจากกำหนดค่าแล้วให้คลิกที่ “การลบกำหนดการ” ปุ่ม:
AWS จะแสดงไฟล์ ข้อความยืนยัน เมื่อกำหนดการลับสำเร็จ:
วิธีที่ 5: คืนค่าความลับ
เมื่อมีการกำหนดเวลาการลบ ข้อมูลลับนั้นจะถูกทำเครื่องหมายว่าเป็นความลับที่เลิกใช้แล้ว และไม่สามารถเข้าถึงได้โดยตรง การเข้าไม่ถึงความลับนี้ยังคงอยู่จนกว่าหน้าต่างการกู้คืนจะสิ้นสุดลง ข้อมูลลับจะถูกลบออกอย่างถาวรเมื่อถึงระยะเวลาการกู้คืนที่ระบุ
อย่างไรก็ตาม คุณสามารถกู้คืนความลับได้โดยทำตามขั้นตอนง่ายๆ ดังต่อไปนี้:
สำหรับการกู้คืนข้อมูลลับที่ถูกลบโดยไม่ตั้งใจ ผู้ใช้สามารถทำตามขั้นตอนง่ายๆ ไม่กี่ขั้นตอน หากต้องการเรียกคืนข้อมูลลับ ให้คลิกที่ “การตั้งค่า” ไอคอนที่อยู่ใน มุมขวาบน ของอินเทอร์เฟซ:
จากหน้าต่างป๊อปอัปที่แสดง ให้เปิดใช้งาน “แสดงความลับที่กำหนดไว้สำหรับการลบ” ตัวเลือก. คงค่าเริ่มต้นไว้ คลิก 'บันทึก' ปุ่ม:
AWS จะแสดงข้อความยืนยัน บนแดชบอร์ดทั้งหมด ความลับ นั่นคือ กำหนดการลบออก จะ แสดง ให้กับผู้ใช้ โปรดทราบว่าจะแสดงเฉพาะข้อมูลลับเหล่านั้นซึ่งไม่เกินกำหนดเวลาการลบที่กำหนดไว้ คลิกที่ ความลับ ที่คุณต้องการ คืนค่า : :
คลิกที่ “ยกเลิกการลบ” ปุ่มเพื่อยุติกำหนดเวลาการลบข้อมูลลับ:
ยืนยัน การลบโดยการแตะ “ยกเลิกการลบ” ปุ่ม:
ความลับที่ได้รับ กู้คืนได้สำเร็จ ตามที่ระบุไว้ในข้อความยืนยัน AWS:
วิธีที่ 6: เปลี่ยนคำอธิบายของความลับ
นอกเหนือจากการอัปเดตค่า การเปลี่ยนคีย์ และการลบและการกู้คืนข้อมูลลับแล้ว ผู้ใช้ AWS ยังสามารถแก้ไขคำอธิบายของข้อมูลลับได้อีกด้วย หากต้องการเปลี่ยนคำอธิบายของข้อมูลลับ ให้เลือกข้อมูลลับจาก AWS Secret Manager Dashboard:
บนอินเทอร์เฟซถัดไป ให้แตะ “การกระทำ” ปุ่มและคลิกที่ “แก้ไขคำอธิบาย” ตัวเลือกจากรายการแบบเลื่อนลง:
นี่จะเป็นการเปิดกล่องโต้ตอบต่อไปนี้ ใน คำอธิบาย แก้ไขคำอธิบายแล้วกดที่ บันทึก ปุ่มเพื่อใช้การเปลี่ยนแปลง:
คำอธิบายได้รับการอัปเดตเรียบร้อยแล้ว:
นั่นคือทั้งหมดจากคู่มือนี้
เคล็ดลับโบนัส: คุณสมบัติหลักของ AWS Secret Manager
ในขณะที่พูดถึงการดำเนินการต่างๆ ที่ผู้ใช้สามารถดำเนินการด้วย AWS Secret Manager เรามาสำรวจคุณสมบัติหลักบางประการของ Secret Manager ที่ทำให้เป็นบริการที่เข้าถึงได้ง่ายสำหรับการจัดเก็บและรักษาความปลอดภัยข้อมูลประจำตัว:
หมุนความลับอย่างปลอดภัย : บริการนี้นำเสนอการผสานรวมในตัวสำหรับพอร์ตโฟลิโอบริการของ AWS มากมาย เช่น MySQL, PostgreSQL, ฟังก์ชัน Lambda, Aurora, RDS ฯลฯ แนวทางปฏิบัติที่แนะนำคือการเปิดใช้งานการกำหนดเวอร์ชันในขณะที่หมุนเวียนข้อมูลลับเพื่อป้องกันการล่มสลายของแอปพลิเคชัน .
การควบคุมการเข้าถึงที่ละเอียด : มีวิธีการหลายวิธีในการรักษาความปลอดภัยข้อมูลรับรอง เช่น การเข้าถึงโดยใช้แท็ก การใช้ชื่อแบบลำดับชั้นเพื่อความสามารถในการปรับขนาด การเข้าถึงข้ามบัญชี เป็นต้น
การตรวจสอบและติดตาม: ผู้ใช้สามารถเข้ารหัสและถอดรหัสความลับได้โดยใช้บริการคีย์การเข้ารหัสของ AWS และตรวจสอบกิจกรรมใน CloudWatch และ CloudTrail เป็นต้น
จ่ายตามการใช้งาน: AWS Secret Manager เป็นไปตามโมเดลแบบจ่ายตามการใช้งาน ซึ่งหมายความว่าผู้ใช้จะถูกเรียกเก็บเงินเฉพาะคุณสมบัติที่ใช้เท่านั้น
บทสรุป
หากต้องการแก้ไขข้อมูลลับในตัวจัดการข้อมูลลับของ AWS ผู้ใช้สามารถเปลี่ยนแท็กและคีย์การเข้ารหัส อัปเดตค่าของคีย์ ตลอดจนลบและกู้คืนข้อมูลลับได้ ด้วยการใช้ AWS Secret Manager สถาปัตยกรรมความปลอดภัยของแอปพลิเคชันได้รับการปรับปรุงเมื่อฮาร์ดโค้ดถูกกำจัดออกไป จากนั้นค่าเหล่านี้จะถูกแทนที่ด้วยค่าที่เข้าถึงขณะรันไทม์ของข้อมูลลับผ่าน Secret Manager บทความนี้เป็นคู่มือแบบทีละขั้นตอนสำหรับการแก้ไขข้อมูลลับใน AWS Secret Manager