Questions d’ordre général
Qu'est-ce qu'AWS Secrets Manager ?
AWS Secrets Manager est un service de gestion des secrets vous permettant de protéger l'accès à vos applications, services et ressources informatiques. Ce service vous permet de renouveler, gérer et récupérer facilement des informations d'identification de base de données, des clés d'API et d'autres secrets tout au long de leur cycle de vie. Grâce à Secrets Manager, vous pouvez sécuriser et gérer des secrets servant à accéder des ressources du cloud AWS, sur des services tiers et sur site.
Pourquoi utiliser AWS Secrets Manager ?
AWS Secrets Manager protège l'accès à vos applications, services et ressources informatiques sans l'investissement initial et les coûts permanents de maintenance liés à l'exécution de votre propre infrastructure.
Secrets Manager est destiné aux administrateurs informatiques cherchant un moyen sûr et évolutif de stocker et gérer les secrets. Les administrateurs de sécurité responsables de tout ce qui a trait aux réglementations et à la conformité peuvent utiliser Secrets Manager pour contrôler et renouveler les secrets sans affecter les applications. Les développeurs voulant remplacer des secrets en code brut dans leurs applications peuvent récupérer de manière programmée des secrets à partir de Secrets Manager.
Que puis-je faire avec AWS Secrets Manager ?
AWS Secrets Manager vous permet de stocker, récupérer, renouveler, vérifier et surveiller les secrets de manière centralisée, sans oublier contrôle de l'accès à ces derniers.
Vous pouvez chiffrer les secrets au repos pour réduire les probabilités de consultation d'informations sensibles par des utilisateurs non autorisés. Pour récupérer des secrets, il suffit de remplacer des secrets en texte simple dans vos applications par du code permettant d'intégrer ces secrets de manière programmée grâce aux API de Secrets Manager. Servez-vous des politiques AWS Identity and Access Management (IAM) pour contrôler les utilisateurs et applications pouvant accéder à ces secrets. Elles vous permettent de renouveler les mots de passe, de façon planifiée ou à la demande, pour les types de bases de données pris en charge hébergés sur AWS, sans risquer d'affecter les applications. Il est possible d'étendre cette fonctionnalité pour renouveler d'autres secrets, comme des mots de passe pour des bases de données Oracle hébergées sur Amazon EC2 ou des jetons d'actualisation OAuth en modifiant des échantillons de fonctions Lambda. Vous pouvez également vérifier et surveiller des secrets, car Secrets Manager s'intègre à AWS CloudTrail, Amazon CloudWatch et Amazon Simple Notification Service (Amazon SNS).
Quels secrets puis-je gérer dans AWS Secrets Manager ?
Vous pouvez gérer des secrets comme des identifiants pour bases de données, pour ressources sur site ou pour applications SaaS, des clés API tierces ou encore des clés Secure Shell (SSH). Secrets Manager vous permet de stocker un document JSON, ce qui vous permet de gérer n'importe quel texte de présentation de 64 Ko maximum.
Quels secrets puis-je renouveler dans AWS Secrets Manager ?
Vous pouvez renouveler des informations d’identification de manière native pour Amazon Relational Database Service (RDS), Amazon DocumentDB et Amazon Redshift. Vous pouvez étendre Secrets Manager pour renouveler d'autres secrets, comme des identifiants pour des bases de données Oracle hébergées sur EC2 ou des jetons d'actualisation OAuth en modifiant des échantillons de fonctions AWS Lambda disponibles dans la documentation de Secrets Manager.
Comment mes applications peuvent-elles utiliser ces secrets ?
Tout d'abord, vous devez rédiger une politique AWS Identity and Access Management (IAM) permettant à votre application d'accéder à des secrets spécifiques. Ensuite, dans le code source de l'application, vous pouvez remplacer les secrets en texte simple par du code pour récupérer ces secrets de manière programmée grâce aux API de Secrets Manager. Pour obtenir toutes les informations et des exemples, consultez le guide de l'utilisateur AWS Secrets Manager.
Comment commencer à utiliser AWS Secrets Manager ?
Pour bien commencer avec AWS Secrets Manager :
- Identifiez vos secrets et localisez les emplacements où ils sont utilisés dans vos applications.
- Connectez-vous à AWS Management Console à l'aide de vos identifiants AWS, puis allez à la console de Secrets Manager.
- Utilisez la console de Secrets Manager pour charger le secret identifié. Sinon, vous pouvez utiliser le kit SDK AWS ou la CLI AWS pour charger un secret (une fois pour chacun). Vous pouvez également rédiger un script pour charger plusieurs secrets.
- Si votre secret n'est pas encore utilisé, suivez les instructions sur la console afin de configurer le renouvellement automatique. Si les applications utilisent votre secret, suivez les étapes (5) et (6) avant de configurer le renouvèlement automatique.
- Si d'autres utilisateurs ou applications doivent récupérer ce secret, rédigez une politique IAM pour accorder les autorisations relatives à ce secret.
- Mettez vos applications à jour pour récupérer des secrets de Secrets Manager.
Dans quelles régions AWS le service AWS Secrets Manager est-il disponible ?
Veuillez consulter le tableau des régions AWS pour connaître la disponibilité actuelle des services AWS dans les différentes régions.
Renouvèlement
Comment AWS Secrets Manager met en place le renouvèlement des identifiants de bases de données sans affecter les applications ?
AWS Secrets Manager vous permet de configurer le renouvellement des identifiants de bases de données de façon planifiée. Grâce à cette fonctionnalité, vous pouvez suivre les bonnes pratiques relatives à la sécurité et renouveler en toute sécurité les identifiants de bases de données. Lorsque Secrets Manager lance un renouvellement, le service utilise les super identifiants de bases de données que vous fournissez pour créer un utilisateur clone disposant des mêmes privilèges, mais avec un mot de passe différent. Secrets Manager communique ensuite les informations de l'utilisateur clone aux bases de données et aux applications récupérant les identifiants de bases de données. En savoir plus sur le renouvellement, reportez-vous au guide de rotation sur AWS Secrets Manager.
Le renouvèlement des identifiants de bases de données affectera-t-il les connexions ouvertes ?
L'authentification survient à l'établissement d'une connexion. Lorsqu'AWS Secrets Manager renouvèle des identifiants de bases de données, la connexion de bases de données ouverte n'est pas authentifiée de nouveau.
Quand savoir à quel moment AWS Secrets Manager renouvèle des identifiants de bases de données ?
Vous pouvez configurer des Amazon CloudWatch Events pour recevoir des notifications en cas de renouvellement de secret par AWS Secrets Manager. Vous pouvez également voir quand Secrets Manager a renouvelé un secret pour la dernière fois via la console ou les API de Secrets Manager.
Sécurité
Comment AWS Secrets Manager garantit la sécurité de mes secrets ?
AWS Secrets Manager chiffre les données au repos grâce à des clés de chiffrement que vous possédez et stockez dans AWS Key Management Service (KMS). Vous pouvez contrôler l'accès au secret grâce aux politiques d'AWS Identity and Access Management (IAM). Lorsque vous récupérez un secret, Secrets Manager déchiffre le secret et le transmet de manière sécurisée par TLS à votre environnement local. Par défaut, Secrets Manager n'écrit pas et ne met pas en cache les secrets sur des stockages permanents.
Qui peut utiliser et gérer des secrets dans AWS Secrets Manager ?
Vous pouvez utiliser des politiques AWS Identity and Access Management (IAM) pour contrôler les autorisations d'accès des utilisateurs et applications pour récupérer ou gérer des secrets spécifiques. Par exemple, vous pouvez créer une politique permettant uniquement aux développeurs de récupérer des secrets utilisés pour l'environnement de développement. Pour en savoir plus, rendez-vous dans la section Authentification et contrôle d'accès pour AWS Secrets Manager.
Comment AWS Secrets Manager chiffre mes secrets ?
AWS Secrets Manager utilise un chiffrement d'enveloppe (algorithme de chiffrement AES-256) pour chiffre vos secrets dans AWS Key Management Service (KMS).
Lorsque vous utilisez Secrets Manager pour la première fois, vous pouvez spécifier les clés AWS KMS pour chiffrer vos secrets. Si vous ne fournissez pas de clé KMS, Secrets Manager crée automatiquement des clés AWS KMS par défaut pour votre compte. Lorsqu'un secret est stocké, Secrets Manager demande un texte simple ainsi qu'une clé de données chiffrées de KMS. Secrets Manager utilise des clés de données en texte simple pour chiffrer le secret en mémoire. AWS Secrets Manager stocke et conserve le secret chiffré ainsi que la clé de données chiffrée. Lors de la récupération d'un secret, Secrets Manager déchiffre la clé de données (à l'aide des clés par défaut d'AWS KMS) et utilise la clé de données en texte simple pour déchiffrer le secret. La clé de données est stockée sous forme chiffrée et n’est jamais écrite sur disque en texte simple. De la même manière, Secrets Manager n'écrit pas et ne met pas en cache les secrets en texte simple sur des stockages permanents.
Facturation
Comment mon utilisation d'AWS KMS me sera-t-elle facturée et débitée ?
Avec Secrets Manager, vous ne payez que ce que vous utilisez et il n'y a pas de frais minimum. Il n'y a pas de frais d'installation, ni aucun engagement à prendre pour commencer à utiliser le service. A la fin du mois, votre carte de crédit est automatiquement débitée en fonction de votre utilisation au cours du mois. Vous êtes facturé pour le nombre de secrets stockés et pour les demandes d'API effectuées sur le service chaque mois.
Pour avoir les informations de tarification en cours, consultez la section sur la tarification d’AWS Secrets Manager.
Est-il possible d'essayer gratuitement le service ?
Oui, vous pouvez essayer gratuitement et pendant 30 jours Secrets Manager grâce à l'essai gratuit d'AWS Secrets Manager. L'essai gratuit vous permet de renouveler, gérer et récupérer des secrets sur la période de 30 jours. L'essai gratuit démarre dès lors que vous stockez votre premier secret.