Definición: Servicio de AWS para gestionar, rotar y recuperar de forma segura credenciales, claves API y otros secretos necesarios para las aplicaciones.
— Fuente: NERVICO, Consultoría de Desarrollo de Producto
Que es AWS Secrets Manager
AWS Secrets Manager es un servicio que centraliza la gestion de secretos como credenciales de bases de datos, claves API, tokens de acceso y certificados. Elimina la necesidad de almacenar secretos en el codigo fuente o en archivos de configuracion, proporcionando un almacen seguro con cifrado, control de acceso granular y rotacion automatica.
Como funciona
Los secretos se almacenan cifrados con claves de AWS KMS y se recuperan en tiempo de ejecucion mediante llamadas a la API o integraciones nativas con servicios AWS. Secrets Manager puede rotar automaticamente las credenciales de bases de datos RDS, Redshift y DocumentDB mediante funciones Lambda predefinidas. Las politicas de IAM controlan que aplicaciones y roles pueden acceder a cada secreto, y CloudTrail registra todos los accesos para auditoria.
Casos de uso principales
- Almacenamiento seguro de credenciales de bases de datos con rotacion automatica periodica
- Gestion centralizada de claves API de servicios externos en aplicaciones distribuidas
- Inyeccion de secretos en contenedores ECS y funciones Lambda sin exponerlos en variables de entorno
- Cumplimiento de normativas de seguridad que requieren rotacion periodica de credenciales
Ventajas y consideraciones
Secrets Manager reduce significativamente el riesgo de exposicion de credenciales y simplifica el cumplimiento de politicas de seguridad. La rotacion automatica elimina la gestion manual de credenciales, una fuente frecuente de errores y vulnerabilidades. El coste se basa en el numero de secretos almacenados y las llamadas a la API, lo cual puede ser relevante en aplicaciones con alto volumen de consultas de secretos.