您位於此處:
設定 OAuth 原則:使用 AWS Secrets Manager 管理外部用戶端應用程式 OAuth 認證
此安全整合可讓 Salesforce 自動將「外部用戶端應用程式 OAuth」取用者密碼直接同步化並儲存在集中化的「AWS 密碼管理員」儲存庫內。
控制名稱
外部用戶端應用程式:設定 OAuth 原則:使用 AWS Secrets Manager 管理外部用戶端應用程式 OAuth 認證
建議組態
使用 AWS Secrets Manager 管理外部用戶端應用程式 OAuth 認證。
控制概觀
此安全性整合可讓 Salesforce 自動將「外部用戶端應用程式 OAuth」取用者密碼直接同步化並儲存在集中 AWS 密碼管理員儲存庫內,而非將其作為 Salesforce 平台內的靜態中繼資料來維護。
未設定安全性風險
OAuth 機密的外部管理不足或去中心化儲存會導致單點缺口風險,其中未受保護認證的入侵會將所有整合後端服務公開給未經授權的存取。
威脅情況
攻擊者可存取純文字組態檔案或包含靜態密碼的未受保護管理介面,並使用這些認證模擬多個生產環境中的外部用戶端應用程式。
估計 CVSS 分數範圍
高 (7.0–8.9)。
風險影響考量事項
無法使用硬體支援或受管理的儲存庫會導致持續認證公開,因為入侵的機密通常會在延長期間保持有效,而不會獲得自動輪換或集中稽核記錄的優點。
風險愈高時機
當同一個 OAuth 密碼手動在多個散佈的雲端環境之間共用,或儲存在版本控制系統中時,沒有加密保護。
低度風險時機
若公司已在 AWS 內使用以身分為基礎的強大存取管理原則,此原則會將密碼提取限制為特定的已驗證 VPC 端點和執行角色。
業務與整合考量事項
實作此控制需要啟用的 AWS 帳戶,以及 Salesforce 中的已命名認證組態,才能在兩個雲端平台之間建立安全的共同驗證路徑。
建議的補救措施
透過定義機密「Amazon 資源名稱」,並建立必要的跨雲端授權原則,來設定外部用戶端應用程式以使用 AWS 機密管理員進行認證儲存。
安全性健康檢閱指南
Security Health Review 將使用外部化密碼管理識別為高度保證整合的強烈建議標準,以確保敏感驗證成品受到企業級保管和自動輪換原則的保護。
