Stockage de secrets sécurisés

AWS Secrets Manager chiffre les secrets au repos grâce à des clés de chiffrement que vous possédez et stockez dans AWS Key Management Service (KMS). Lorsque vous récupérez un secret, Secrets Manager déchiffre le secret et le transmet de manière sécurisée par TLS à votre environnement local. Par défaut, Secrets Manager n'écrit pas et ne met pas en cache les secrets sur des stockages permanents. De plus, vous pouvez contrôler l'accès au secret à l'aide des politiques plus précises d'AWS Identity and Access Management (IAM).

Renouvèlement automatique des secrets sans perturbation des applications

Avec AWS Secrets Manager, vous pouvez renouveler des secrets de manière planifiée ou à la demande grâce à la console Secrets Manager, au kit SDK AWS ou à la CLI AWS. Par exemple, pour renouveler un mot de passe de base de données, vous devez fournir le type de base de données, la fréquence de renouvèlement et les identifiants de la base de données principale au moment du stockage du mot de passe dans Secrets Manager. Vous pouvez également étendre cette fonctionnalité au renouvèlement d'autres secrets en modifiant un échantillon de fonctions Lambda. Par exemple, vous pouvez renouveler des jetons d'actualisation OAuth servant à autoriser des applications ou des mots de passe utilisés pour des bases de données MySQL hébergées sur site. Les utilisateurs et les applications récupèrent des secrets en remplaçant des secrets en code brut par appel d'API Secrets Manager, ce qui vous permet d'automatiser le renouvèlement de secrets tout en garantissant une exécution sans interruption.

Récupération programmée de secrets

Vous pouvez stocker et récupérer des secrets à l'aide de la console AWS Secrets Manager, du kit SDK AWS et de la CLI AWS. Pour récupérer des secrets, il suffit de remplacer des secrets en texte simple dans vos applications par du code permettant d'intégrer ces secrets de manière programmée grâce aux API de Secrets Manager. Secrets Manager fournit des échantillons de code pour appeler des API Secrets Manager, également disponibles sur la page Secrets Manager Resources.

Vérification et surveillance de l'utilisation des secrets

AWS Secrets Manager vous permet de vérifier et surveiller les secrets grâce aux services de journalisation, de surveillance et de notification d'AWS. Par exemple, après l'activation d'AWS CloudTrail dans une région AWS, vous pouvez vérifier le moment où un secret est stocké ou renouvelé en consultant les journaux d'AWS CloudTrail. De la même manière, vous pouvez configurer Amazon CloudWatch de façon à recevoir des e-mails par le biais d'Amazon Simple Notification Service lorsque des secrets demeurent inutilisés pendant un moment, ou vous pouvez configurer des événements Amazon CloudWatch pour recevoir des notifications push lorsque Secrets Manager renouvèle des secrets.

En savoir plus sur la tarification d'AWS Secrets Manager

Visiter la page de tarification
Prêt à concevoir ?
Faites vos premiers pas avec AWS Secrets Manager
Vous avez d'autres questions ?
Contactez-nous