Fonctionnalités d'AWS Secrets Manager

AWS Secrets Manager chiffre les secrets au repos grâce à des clés de chiffrement que vous possédez et stockez dans AWS Key Management Service (AWS KMS). 

• Lorsque vous récupérez un secret, Secrets Manager déchiffre le secret et le transmet de manière sécurisée par TLS à votre environnement local.
• Secrets Manager s'intègre avec AWS Identity and Access Management (IAM) pour contrôler l'accès au secret à l'aide des politiques plus précises d'IAM et des politiques axées sur les ressources.

Avec AWS Secrets Manager, vous pouvez renouveler des secrets de manière planifiée ou à la demande grâce à la console Secrets Manager, au kit SDK AWS ou à AWS CLI. 

• Secrets Manager prend en charge d'emblée la rotation des informations d'identification pour les bases de données hébergées sur Amazon RDS et Amazon DocumentDB et les clusters hébergés sur Amazon Redshift.
  
• Vous pouvez également étendre Secrets Manager au renouvèlement de secrets utilisés avec d'autres services AWS or 3P en modifiant un échantillon de fonctions Lambda.

AWS Secrets Manager vous permet de répliquer automatiquement vos secrets dans plusieurs régions AWS pour répondre à vos exigences uniques de reprise après sinistre et de redondance entre régions. Vous pouvez indiquer les régions AWS dans lesquelles un secret doit être répliqué et Secrets Manager créera de manière sécurisée des répliques régionales en lecture, éliminant ainsi la nécessité de maintenir une solution complexe pour cette fonctionnalité. Vous pouvez donner à vos applications multi-régions accès aux secrets répliqués dans les régions correspondantes et faire confiance à AWS Secrets Manager pour garder les réplicas synchronisés avec le secret principal.

Créer vos applications en gardant la sécurité des secrets au centre de vos préoccupations.

• Secrets Manager fournit des exemples de code pour appeler les API de Secrets Manager à partir de langages de programmation courants. Il existe deux types d'API pour récupérer des secrets :
  • Récupérez un seul secret par nom ou ARN.
  • Récupérez un groupe de secrets en fournissant une liste de noms ou d'ARN, ou des critères de filtrage tels que des balises.
• Configurez les points de terminaison Amazon Virtual Private Cloud (VPC) pour maintenir le trafic entre votre VPC et Secrets Manager dans le réseau AWS.
• Vous pouvez également utiliser les bibliothèques de mise en cache côté client AWS Secrets Manager pour améliorer la disponibilité et réduire la latence lors de la récupération de secrets.

AWS Secrets Manager vous permet de vérifier et de surveiller les secrets grâce aux services de journalisation, de surveillance et de notification d'AWS. Par exemple, après l'activation d'AWS CloudTrail dans une région AWS, vous pouvez vérifier le moment où un secret est créé ou renouvelé en consultant les journaux d'AWS CloudTrail. De la même manière, vous pouvez configurer Amazon CloudWatch de façon à recevoir des e-mails par le biais d'Amazon Simple Notification Service lorsque des secrets demeurent inutilisés pendant un moment, ou vous pouvez configurer Amazon CloudWatch Events pour recevoir des notifications push lorsque Secrets Manager renouvèle des secrets.

Vous pouvez utiliser AWS Secrets Manager pour répondre aux exigences de conformité.

• Utilisez AWS Config Rules pour vous aider à vérifier que vos secrets sont configurés conformément aux exigences de sécurité et de conformité de votre organisation.
• Gérez les secrets des charges de travail soumises au Department of Defense Cloud Computing Security Requirements Guide (DoD CC SRG IL2, DoD CC SRG IL4 et DoD CC SRG IL5), Federal Risk and Authorization Management Program (FedRAMP), U.S. Health Insurance Portability and Accountability Act (HIPAA), Information Security Registered Assessors Program (IRAP), Outsourced Service Provider's Audit Report (OSPAR), ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ISO 9001, Payment Card Industry Data Security Standard (PCI-DSS) ou System and Organization Control (SOC).
• Consultez les informations du programme de conformité d'AWS et le rapport dans AWS Artifact.

Secrets Manager s'intègre avec vos services AWS pour gérer vos informations d'identification de manière sécurisée. Ces intégrations vous permettent d'échanger des informations d'identification avec divers services AWS en toute sécurité. Les informations d'identification stockées dans Secrets Manager sont chiffrées à l'aide de clés KMS gérées par AWS ou par des clés gérées par le client. Secrets Manager renouvèle les secrets périodiquement pour maintenir le niveau de sécurité élevé. Une fois vos secrets stockés dans Secrets Manager, vous pourrez fournir l'ARN d'un secret à un service AWS au lieu d’une information d’identification en texte brut. Les services suivants proposent une assistance Secrets Manager aux clients pour échanger des informations d'identification en toute sécurité :