Réplication d'un secret AWS Secrets Manager vers d'autres Régions AWS - AWS Secrets Manager
AWS CLIKit SDK AWSRésolution des problèmes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Réplication d'un secret AWS Secrets Manager vers d'autres Régions AWS

Vous pouvez répliquer vos secrets vers plusieurs Régions AWS pour prendre en charge des applications réparties dans ces régions et répondre aux exigences d'accès régional et de faible latence. Si vous en avez besoin ultérieurement, vous pouvez promouvoir un secret répliqué vers un secret autonome, puis le configurer pour la réplication de manière indépendante. Secrets Manager réplique les données et métadonnées chiffrées du secret, telles que les identifications et les politiques de ressources, dans les régions spécifiées.

L'ARN d'un secret répliqué est identique au secret principal à l'exception de la région, par exemple :

  • Secret principal :arn:aws:secretsmanager:Region1:123456789012:secret:MySecret-a1b2c3

  • Secret de réplica : arn:aws:secretsmanager:Region2:123456789012:secret:MySecret-a1b2c3

Pour obtenir des informations sur la tarification des secrets de réplica, veuillez consulter la Tarification d'AWS Secrets Manager.

Lorsque vous stockez les informations d'identification de base de données pour une base de données source répliquée vers d'autres régions, le secret contient des informations de connexion pour la base de données source. Si vous répliquez ensuite le secret, les réplicas sont des copies du secret source et contiennent les mêmes informations de connexion. Vous pouvez ajouter des paires clé-valeur supplémentaires au secret pour obtenir des informations de connexion régionale.

Si vous activez la rotation pour votre secret principal, Secrets Manager effectue une rotation du secret dans la région principale et la nouvelle valeur du secret se propage à tous les secrets répliqués associés. Vous n'avez pas à gérer la rotation individuellement pour tous les secrets répliqués.

Vous pouvez répliquer des secrets sur l'ensemble de vos régions AWS. Toutefois, si vous utilisez Secrets Manager dans des régions AWS telles queAWS GovCloud (US) ou les régions de Chine, vous ne pouvez configurer que les secrets et les répliques dans ces régions AWS. Vous ne pouvez pas répliquer un secret dans vos régions AWS activées vers une région spécialisée ou répliquer des secrets d'une Région spécialisée vers une région commerciale.

Avant de pouvoir répliquer un secret vers une autre région, vous devez activer cette région. Pour plus d'informations, consultez Gestion des régions AWS.

Il est possible d'utiliser un secret dans plusieurs régions sans le répliquer en appelant le point de terminaison Secrets Manager dans la région où le secret est stocké. Pour obtenir la liste des points de terminaison , consultez AWS Secrets Manager points de terminaison. ConsultezDisaster Recovery (DR) Architecture surAWS, Partie I : Stratégies de récupération dans le cloud, pour utiliser la réplication afin d'améliorer la résilience de votre charge de travail.

Secrets Manager génère une entrée de CloudTrail journal lorsque vous répliquez un secret. Pour plus d’informations, consultez Journalisation d'événements AWS Secrets Manager avec AWS CloudTrail.

Pour répliquer un secret vers d'autres régions (console)

  1. Ouvrez la console Secrets Manager en suivant le lien https://console.aws.amazon.com/secretsmanager/.

  2. Dans la liste des secrets, choisissez le secret.

  3. Sur la page Détails du secret, sous l'onglet Réplication procédez de l'une des manières suivantes :

    • Si votre secret n'est pas répliqué, choisissez Replicate secret (Répliquer le secret).

    • Si votre secret est répliqué, dans la section Replicate secret (Répliquer le secret), choisissez Add Region (Ajouter une région).

  4. Dans la boîte de dialogue Add replica regions, procédez comme suit :

    1. Pour AWSRégion, choisissez la région dans laquelle vous souhaitez répliquer le secret.

    2. (Facultatif) Pour Clé de chiffrement, choisissez une clé KMS avec laquelle chiffrer le secret. La clé doit se trouver dans la région de la réplique.

    3. (Facultatif) Pour ajouter une autre région, choisissez Add more regions (Ajouter des régions supplémentaires).

    4. Choisissez Replicate (Répliquer).

    Vous revenez à la page des détails du secret. Dans la section Replicate secret (Répliquer le secret), l'état de réplication s'affiche pour chaque région.

AWS CLI

Exemple Réplication d'un secret vers une autre région

L'exemple suivant replicate-secret-to-regions réplique un secret vers la zone eu-west-3. La réplique est cryptée avec la clé AWS gérée aws/secretsmanager.

aws secretsmanager replicate-secret-to-regions \
    --secret-id MyTestSecret \
    --add-replica-regions Region=eu-west-3

Kit SDK AWS

Pour répliquer un secret, utilisez la commande ReplicateSecretToRegions. Pour plus d’informations, consultez AWS SDK.

Résolution des problèmes

Voici quelques raisons pour lesquelles la réplication peut échouer.

Un secret avec le même nom existe dans la région sélectionnée

Pour résoudre ce problème, vous pouvez écraser le secret du nom dupliqué dans la région de réplica. Réessayer la réplication, puis dans la boîte de dialogue Retry replication (Réessayer la réplication), choisissez Overwrite (Écraser).

Aucune autorisation disponible sur la clé KMS pour terminer la réplication

Secrets Manager décrypte d'abord le secret avant de le crypter de nouveau avec la nouvelle clé KMS de la région de réplication. Si kms:Decrypt ne vous autorise pas à accéder à la clé de chiffrement dans la région principale, vous rencontrerez cette erreur. Pour chiffrer le secret répliqué avec une clé KMS autre que aws/secretsmanager, vous avez besoin de kms:GenerateDataKey et de kms:Encrypt pour la clé. veuillez consulter Autorisations pour la clé KMS.

La clé KMS est désactivée ou introuvable

Secrets Manager ne peut pas répliquer le secret si la clé de chiffrement de la région principale est désactivée ou supprimée. Si le secret contient des versions étiquetées personnalisées chiffrées avec la clé de chiffrement désactivée ou supprimée, cette erreur peut se produire même si vous avez modifié la clé de chiffrement. Pour plus d'informations sur le mode de chiffrement de Secrets Manager, consultez la section Chiffrement et déchiffrement secrets dans AWS Secrets Manager. Pour contourner ce problème, vous pouvez recréer les versions de secret afin que Secrets Manager les chiffre avec la clé de chiffrement actuelle. Pour de plus amples informations, consultez la section Modification de la clé de chiffrement d'un secret (français non garanti). Réessayez ensuite la réplication.

aws secretsmanager put-secret-value \
    --secret-id testDescriptionUpdate \
    --secret-string "SecretValue" \
    --version-stages "MyCustomLabel"

Vous n'avez pas activé la région dans laquelle la réplication se produit

Pour des informations sur comment activer une région, consultez Gestion des régions AWS. dans le Guide de référence de la gestion des comptes AWS.