AWS Secrets Manager e Parameter Store
Utilizzare gli archivi dati in AWS
Dunieski Otano
AWS Solutions Architect
Il disastro della password hardcoded
Dev inserisce la password del DB nel codice
Il codice viene pubblicato su GitHub pubblico
Un attaccante trova la password in 12 minuti
DB cancellato, richiesta di riscatto
Perché non hardcodare i secret
Errori comuni
Hardcoded nel sorgente
Testo in chiaro nei file di config
Commit nel controllo versione
Conseguenze
Esposti in repo pubblici
Difficili da ruotare
Tracciamento audit assente
Panoramica di AWS Secrets Manager
Scopo
Archivia e ruota le credenziali in automatico
Cosa salvare
Password DB, API key, token OAuth
Funzionalità chiave
Rotazione automatica, crittografia KMS, audit logging
Rotazione automatica con Secrets Manager
Processo di rotazione
Funzione Lambda aggiorna le credenziali
Finestra di rotazione
Imposta quando ruotare (rate o cron)
Zero downtime
Password vecchia e nuova funzionano durante la rotazione
Salvare secret in formato JSON
Secret strutturati
Più valori in un unico secret
Formato JSON
{"username": "admin", "password": "...", "host": "db.example.com"}
Recupero e parsing
Usa l'API GetSecretValue
Panoramica di Parameter Store
Parte di
AWS Systems Manager
Scopo
Archivia configurazioni e secret statici
Organizzazione gerarchica
/app/prod/db/password
/app/dev/api-key
Fascia gratuita
Fino a 10.000 parametri standard (max 4 KB)
Parametri avanzati (max 8 KB) a pagamento
Tipi di parametri in Parameter Store
String
Testo in chiaro (feature flag, endpoint)
StringList
Valori separati da virgola (IP)
SecureString
Crittografato con KMS (password, API key)
Guida alla scelta: Secrets Manager vs Parameter Store
Usa Secrets Manager quando
Serve rotazione automatica
Salvi credenziali di database
Usa Parameter Store quando
Valori di configurazione statici
Sensibile ai costi (fascia gratuita)
Usali insieme
Modello comune in produzione
Passons à la pratique !
Utilizzare gli archivi dati in AWS
Preparing Video For Download...