Gustavo Sied

AI-Driven Systems · DevOps · Cloud · Seguridad

Automatización Cloud Infraestructura Seguridad

AWS DataSync integra Secrets Manager en todos los tipos de ubicación

PorGustavo

Mar 22, 2026 #AWS, #DataSync, #DevSecOps, #Gobernanza, #IAM, #KMS, #Secrets Manager, #transferencia de datos

AWS DataSync integra Secrets Manager en todos los tipos de ubicación

Bajada

AWS habilitó la gestión de credenciales con Secrets Manager para todos los location types de DataSync. El cambio reduce secretos expuestos en scripts y pipelines, mejora gobernanza con KMS e IAM, y simplifica rotación y auditoría en operaciones híbridas y multicloud.

Introducción

AWS anunció que DataSync ahora permite usar AWS Secrets Manager en todos sus tipos de ubicaciones, incluyendo HDFS, FSx for Windows File Server y FSx for NetApp ONTAP. Aunque parece un ajuste menor, para equipos de plataforma y operaciones resuelve un problema recurrente: la dispersión de credenciales en jobs de sincronización, automatizaciones y configuraciones ad-hoc.

Qué ocurrió

Hasta ahora, parte de los flujos de DataSync exigían pasar credenciales directamente en API o consola, según el tipo de ubicación. Con la actualización, AWS unifica el modelo y permite centralizar secretos en Secrets Manager para todos los escenarios soportados. Además del modo con secreto administrado por DataSync, se puede usar cifrado con KMS propio o secretos totalmente gestionados por el cliente mediante ARN e IAM role.

Impacto para DevOps / Infraestructura / Cloud / Seguridad

Para equipos DevOps e infraestructura, el impacto es operativo y de seguridad al mismo tiempo. Operativamente, baja la fricción para estandarizar provisioning de ubicaciones DataSync en Terraform/CLI/SDK sin propagar credenciales en variables de entorno de larga vida. Desde seguridad, permite alinear transferencias de datos con políticas de least privilege, cifrado con claves propias y trazabilidad centralizada.

También mejora compliance técnico: al mover credenciales a Secrets Manager se reduce superficie en repositorios, historial de comandos, playbooks y paneles de CI/CD. Para organizaciones con auditorías periódicas, esta convergencia entre transferencia de datos y gestión formal de secretos simplifica evidencias y controles.

Detalles técnicos

La documentación de DataSync describe tres esquemas de uso:
1) ManagedSecretConfig: DataSync crea y administra el secreto con cifrado administrado por AWS.
2) CmkSecretConfig: DataSync administra el secreto, pero cifra con una clave KMS administrada por el cliente.
3) CustomSecretConfig: el cliente crea y mantiene secreto, política e IAM role, y DataSync consume ese ARN.

En el modelo con KMS propio, AWS pide permisos explícitos de kms:Encrypt, kms:GenerateDataKey y kms:Decrypt, más una política de clave que permita al service-linked role de DataSync descifrar. Esto obliga a diseñar políticas más precisas y evita permisos excesivos.

Otra implicancia relevante es el ciclo de vida: cuando DataSync administra el secreto, puede borrar automáticamente el recurso al eliminar o migrar la ubicación. Si el secreto es customer-managed, el ciclo queda completamente bajo control del equipo de plataforma, lo que permite integrar rotación, etiquetado y alertas según estándares internos.

Qué deberían hacer los administradores o equipos técnicos

1. Inventariar ubicaciones DataSync existentes y clasificar cuáles aún dependen de credenciales inyectadas manualmente.
2. Definir patrón corporativo (service-managed vs customer-managed) por criticidad, entorno y requisitos regulatorios.
3. Aplicar políticas IAM y KMS mínimas con condiciones kms:ViaService y controles de cuenta/origen para evitar abuso.
4. Automatizar rotación y validación de secretos críticos, incluyendo pruebas de transferencia después de cada rotación.
5. Actualizar pipelines y runbooks para eliminar secretos embebidos en variables, parámetros o scripts históricos.
6. Agregar observabilidad y auditoría sobre cambios de secretos, errores de decrypt y fallas de tareas DataSync.

Conclusión

La novedad de DataSync no es solo una mejora de conveniencia: es una pieza concreta para madurar seguridad operacional en flujos de movimiento de datos. Estandarizar Secrets Manager en todos los tipos de ubicación elimina excepciones, reduce deuda técnica y habilita un modelo más consistente para entornos híbridos. Equipos que ya operan DataSync a escala deberían priorizar esta migración en su backlog de hardening y gobernanza de plataformas.

Fuentes

AWS What’s New: DataSync + Secrets Manager
AWS DataSync docs: location credentials
AWS Secrets Manager best practices

Por Gustavo

Entrada relacionada

DevOps Infraestructura Open Source Seguridad

Compromiso de Trivy en GitHub Actions: impacto real en CI/CD

Mar 22, 2026 Gustavo
Cloud Infraestructura Observabilidad SRE

Cloudflare resolvió degradación de red en Yakarta: claves SRE

Mar 22, 2026 Gustavo
DevOps Infraestructura Kubernetes Seguridad

Kubernetes Agent Sandbox: aislamiento seguro para agentes de IA

Mar 22, 2026 Gustavo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

You missed

Automatización Cloud Infraestructura Seguridad

AWS DataSync integra Secrets Manager en todos los tipos de ubicación

22 marzo, 2026 Gustavo
DevOps Infraestructura Open Source Seguridad

Compromiso de Trivy en GitHub Actions: impacto real en CI/CD

22 marzo, 2026 Gustavo
Cloud Infraestructura Observabilidad SRE

Cloudflare resolvió degradación de red en Yakarta: claves SRE

22 marzo, 2026 Gustavo
DevOps Infraestructura Kubernetes Seguridad

Kubernetes Agent Sandbox: aislamiento seguro para agentes de IA

22 marzo, 2026 Gustavo