AWS Secrets Manager adalah layanan keamanan yang digunakan untuk mengelola informasi sensitif secara terpusat dan menghilangkan kebutuhan untuk menyematkan informasi tersebut secara langsung dalam sebuah aplikasi.
Administrator dapat menyimpan informasi, atau “secrets,” seperti nama pengguna, kata sandi, kredensial database, dan kunci API di dalam AWS Secrets Manager untuk membatasi akses tidak sah ke layanan Amazon serta aplikasi yang dibangun di platform cloud-nya. Layanan ini juga dapat mengelola secrets yang terkait dengan sumber daya di lingkungan on-premises dan platform pihak ketiga lainnya.
Fitur AWS Secrets Manager
Secrets Manager menghilangkan kebutuhan untuk menyisipkan kredensial langsung dalam aplikasi, yang sering dilakukan agar aplikasi dapat mengakses database dan layanan lainnya. Sebagai gantinya, informasi ini dapat diambil secara terprogram melalui panggilan API, sehingga pengguna tidak perlu memperbarui aplikasi setiap kali kredensial diputar ulang.
Administrator dapat memutar ulang kredensial secara otomatis atau menetapkan jadwal rotasi. Rotasi kredensial tidak memerlukan langkah tambahan untuk layanan database asli AWS, tetapi pengguna harus membuat fungsi AWS Lambda kustom untuk menentukan bagaimana Secrets Manager berinteraksi dengan layanan eksternal.
Administrator dapat menyimpan teks hingga 4096 karakter dalam satu secret. Ini bisa mencakup informasi sensitif itu sendiri serta data terkait tentang koneksi ke database atau layanan tertentu. Label digunakan untuk mengidentifikasi dan melacak berbagai versi secrets yang diputar ulang, dengan maksimum 20 label per versi. Permintaan pengguna akan diarahkan ke versi secret terbaru, kecuali jika secara khusus meminta versi sebelumnya.
Integrasi AWS Secrets Manager
Layanan ini terintegrasi dengan AWS Key Management Service (AWS KMS) untuk mengenkripsi data sensitif. AWS Secrets Manager hanya menerima permintaan dari host yang menggunakan standar Transport Layer Security (TLS) dan Perfect Forward Secrecy (PFS), sehingga memastikan bahwa secrets tetap terenkripsi selama transmisi.
Administrator dapat menetapkan kebijakan AWS Identity and Access Management (IAM) ke pengguna atau grup tertentu untuk mengatur distribusi dan pembatasan akses terhadap secrets. Layanan ini juga bekerja dengan AWS CloudTrail dan Amazon CloudWatch Events. Administrator dapat menggunakan CloudTrail untuk memantau rotasi secrets atau CloudWatch Events untuk mengirim notifikasi jika ada secret yang dihapus.
Harga AWS Secrets Manager
Per Desember 2018, layanan ini dikenakan biaya berdasarkan penggunaan, yaitu $0,40 per secret per bulan dan $0,05 per 10.000 panggilan API.
Kunci default AWS KMS disertakan tanpa biaya tambahan, tetapi administrator akan dikenakan biaya tambahan jika memilih membuat kunci master kustom melalui AWS KMS. Selain itu, mungkin ada biaya tambahan untuk penggunaan berbagai event manajemen di CloudTrail, serta biaya Amazon S3 dan Amazon Simple Notification Service (SNS) untuk penyimpanan log dan notifikasi.