AWS Secrets Manager und Parameter Store

Nutzung von Datenspeichern in AWS

Dunieski Otano

AWS Solutions Architect

Die Hardcode-Passwort-Katastrophe

  • Entwickler:in hardcodet Datenbankpasswort im Code
  • Code in öffentliches GitHub-Repo gepusht
  • Angreifer findet Passwort nach 12 Minuten
  • Datenbank gelöscht, Lösegeld gefordert

Angriff

Nutzung von Datenspeichern in AWS

Warum niemals Secrets hardcoden

  • Häufige Fehler
    • Im Quellcode hardcodet
    • Klartext in Config-Dateien
    • In die Versionsverwaltung committet
  • Folgen
    • In öffentlichen Repos offengelegt
    • Schwer zu rotieren
    • Fehlende Audit-Trails

Nicht tun

Nutzung von Datenspeichern in AWS

AWS Secrets Manager: Überblick

  • Zweck
    • Zugangsdaten automatisch speichern und rotieren
  • Was speichern
    • DB-Passwörter, API-Keys, OAuth-Tokens
  • Kernfeatures
    • Automatische Rotation, KMS-Verschlüsselung, Audit-Logs

SM

Nutzung von Datenspeichern in AWS

Automatische Rotation in Secrets Manager

  • Rotationsprozess
    • Lambda-Funktion aktualisiert Anmeldedaten
  • Rotationsfenster
    • Zeitpunkt festlegen (Rate oder Cron)
  • Keine Downtime
    • Alte und neue Passwörter funktionieren während der Rotation

Rotation

Nutzung von Datenspeichern in AWS

Secrets im JSON-Format speichern

  • Strukturierte Secrets
    • Mehrere Werte in einem Secret speichern
  • JSON-Format
    • {"username": "admin", "password": "...", "host": "db.example.com"}
  • Abrufen und parsen
    • GetSecretValue-API verwenden

Abrufen

Nutzung von Datenspeichern in AWS

Parameter Store: Überblick

  • Teil von AWS Systems Manager
  • Zweck
    • Konfiguration und statische Secrets speichern
  • Hierarchische Organisation
    • /app/prod/db/password
    • /app/dev/api-key
  • Free Tier
    • Bis zu 10.000 Standardparameter (max. 4 KB)
    • Erweiterte Parameter (max. 8 KB) kostenpflichtig

PS

Nutzung von Datenspeichern in AWS

Parameter Store: Parametertypen

  • String
    • Klartext-Konfiguration (Feature Flags, Endpunkte)
  • StringList
    • Kommagetrennte Werte (IP-Adressen)
  • SecureString
    • Mit KMS verschlüsselt (Passwörter, API-Keys)

Typen

Nutzung von Datenspeichern in AWS

Secrets Manager vs Parameter Store: Entscheidungshilfe

  • Secrets Manager nutzen, wenn
    • Automatische Rotation benötigt
    • Datenbank-Zugangsdaten gespeichert werden
  • Parameter Store nutzen, wenn
    • Statische Konfigurationswerte
    • Kostensensitiv (Free Tier)
  • Beide zusammen nutzen
    • Häufiges Muster in Produktion

Entscheidung

Nutzung von Datenspeichern in AWS

Lass uns üben!

Nutzung von Datenspeichern in AWS

Preparing Video For Download...