Stockage de secrets sécurisés

AWS Secrets Manager chiffre les secrets au repos grâce à des clés de chiffrement que vous possédez et stockez dans AWS Key Management Service (KMS). Lorsque vous récupérez un secret, Secrets Manager déchiffre le secret et le transmet de manière sécurisée par TLS à votre environnement local. Par défaut, Secrets Manager n'écrit pas et ne met pas en cache les secrets sur des stockages permanents. De plus, vous pouvez contrôler l'accès au secret à l'aide des politiques plus précises d'AWS Identity and Access Management (IAM) et les politiques axées sur les ressources.  Vous pouvez également baliser les secrets séparément et appliquer des contrôles d'accès en fonction des balises. Par exemple, vous pouvez baliser les secrets utilisés dans l'environnement de production comme « Prod, » puis écrire une politique IAM pour autoriser l'accès à ces secrets uniquement si les requêtes proviennent du réseau informatique de l'entreprise.

Renouvèlement automatique des secrets sans perturbation des applications

Avec AWS Secrets Manager, vous pouvez renouveler des secrets de manière planifiée ou à la demande grâce à la console Secrets Manager, au kit SDK AWS ou à la CLI AWS. Par exemple, pour renouveler un mot de passe de base de données, vous devez fournir le type de base de données, la fréquence de renouvèlement et les identifiants de la base de données principale au moment du stockage du mot de passe dans Secrets Manager. Secrets Manager prend en charge d'emblée la rotation des informations d'identification pour les bases de données hébergées sur Amazon RDS et Amazon DocumentDB et les clusters hébergés sur Amazon Redshift. Vous pouvez également étendre Secrets Manager au renouvèlement d'autres secrets en modifiant un échantillon de fonctions Lambda. Par exemple, vous pouvez renouveler des jetons d'actualisation OAuth servant à autoriser des applications ou des mots de passe utilisés pour des bases de données MySQL hébergées sur site. Les utilisateurs et les applications récupèrent des secrets en remplaçant des secrets en code brut par appel d'API Secrets Manager, ce qui vous permet d'automatiser le renouvèlement de secrets tout en garantissant une exécution sans interruption.

Récupération programmée de secrets

Vous pouvez stocker et récupérer des secrets à l'aide de la console AWS Secrets Manager, du kit SDK AWS, de la CLI AWS ou de l’AWS CloudFormation.. Pour récupérer des secrets, il suffit de remplacer des secrets en texte simple dans vos applications par du code permettant d'intégrer ces secrets de manière programmée grâce aux API de Secrets Manager. Secrets Manager fournit des échantillons de code pour appeler des API Secrets Manager, également disponibles sur la page Secrets Manager Resources.  Vous pouvez configurer les points de terminaison Amazon Virtual Private Cloud (VPC) pour maintenir le trafic entre votre VPC et Secrets Manager dans le réseau AWS. Vous pouvez utiliser les bibliothèques de mise en cache côté client AWS Secrets Manager pour améliorer la disponibilité et la latence de l'utilisation de vos secrets

Vérification et surveillance de l'utilisation des secrets

AWS Secrets Manager vous permet de vérifier et surveiller les secrets grâce aux services de journalisation, de surveillance et de notification d'AWS. Par exemple, après l'activation d'AWS CloudTrail dans une région AWS, vous pouvez vérifier le moment où un secret est stocké ou renouvelé en consultant les journaux d'AWS CloudTrail. De la même manière, vous pouvez configurer Amazon CloudWatch de façon à recevoir des e-mails par le biais d'Amazon Simple Notification Service lorsque des secrets demeurent inutilisés pendant un moment, ou vous pouvez configurer des événements Amazon CloudWatch pour recevoir des notifications push lorsque Secrets Manager renouvèle des secrets.

Conformité

Vous pouvez utiliser AWS Secrets Manager pour gérer les secrets des volumes de travail qui sont soumis aux lois américaines. Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI-DSS), ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27018, ou ISO 9001. Voir les détails du programme de conformité de l'AWS et le rapport dans l’ AWS Artifact.

En savoir plus sur la tarification d'AWS Secrets Manager

Consulter la page de tarification
Prêt à concevoir ?
Faites vos premiers pas avec AWS Secrets Manager
D'autres questions ?
Contactez-nous