AWS Secrets Manager und Parameter Store
Nutzung von Datenspeichern in AWS
Dunieski Otano
AWS Solutions Architect
Die Hardcode-Passwort-Katastrophe
Entwickler:in hardcodet Datenbankpasswort im Code
Code in öffentliches GitHub-Repo gepusht
Angreifer findet Passwort nach 12 Minuten
Datenbank gelöscht, Lösegeld gefordert
Warum niemals Secrets hardcoden
Häufige Fehler
Im Quellcode hardcodet
Klartext in Config-Dateien
In die Versionsverwaltung committet
Folgen
In öffentlichen Repos offengelegt
Schwer zu rotieren
Fehlende Audit-Trails
AWS Secrets Manager: Überblick
Zweck
Zugangsdaten automatisch speichern und rotieren
Was speichern
DB-Passwörter, API-Keys, OAuth-Tokens
Kernfeatures
Automatische Rotation, KMS-Verschlüsselung, Audit-Logs
Automatische Rotation in Secrets Manager
Rotationsprozess
Lambda-Funktion aktualisiert Anmeldedaten
Rotationsfenster
Zeitpunkt festlegen (Rate oder Cron)
Keine Downtime
Alte und neue Passwörter funktionieren während der Rotation
Secrets im JSON-Format speichern
Strukturierte Secrets
Mehrere Werte in einem Secret speichern
JSON-Format
{"username": "admin", "password": "...", "host": "db.example.com"}
Abrufen und parsen
GetSecretValue-API verwenden
Parameter Store: Überblick
Teil von
AWS Systems Manager
Zweck
Konfiguration und statische Secrets speichern
Hierarchische Organisation
/app/prod/db/password
/app/dev/api-key
Free Tier
Bis zu 10.000 Standardparameter (max. 4 KB)
Erweiterte Parameter (max. 8 KB) kostenpflichtig
Parameter Store: Parametertypen
String
Klartext-Konfiguration (Feature Flags, Endpunkte)
StringList
Kommagetrennte Werte (IP-Adressen)
SecureString
Mit KMS verschlüsselt (Passwörter, API-Keys)
Secrets Manager vs Parameter Store: Entscheidungshilfe
Secrets Manager nutzen, wenn
Automatische Rotation benötigt
Datenbank-Zugangsdaten gespeichert werden
Parameter Store nutzen, wenn
Statische Konfigurationswerte
Kostensensitiv (Free Tier)
Beide zusammen nutzen
Häufiges Muster in Produktion
Lass uns üben!
Nutzung von Datenspeichern in AWS
Preparing Video For Download...