Créez un AWS Secrets Manager secret - AWS Secrets Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez un AWS Secrets Manager secret

Un secret peut être un mot de passe, un ensemble d'informations d'identification telles qu'un nom d'utilisateur et un mot de passe, un OAuth jeton ou toute autre information secrète que vous stockez sous forme cryptée dans Secrets Manager.

Astuce

Pour les informations d'identification d'administrateur Amazon RDS et Amazon Redshift, nous vous recommandons d'utiliser des secrets gérés. Vous créez le secret géré via le service de gestion, puis vous pouvez utiliser la rotation gérée.

Lorsque vous utilisez la console pour stocker les informations d'identification d'une base de données source répliquée dans d'autres régions, le secret contient les informations de connexion à la base de données source. Si vous répliquez ensuite le secret, les réplicas sont des copies du secret source et contiennent les mêmes informations de connexion. Vous pouvez ajouter des paires clé-valeur supplémentaires au secret pour obtenir des informations de connexion régionale.

Pour créer un secret, vous devez disposer des autorisations accordées par la politique SecretsManagerReadWrite gérée.

Secrets Manager génère une entrée de CloudTrail journal lorsque vous créez un secret. Pour de plus amples informations, veuillez consulter Enregistrez AWS Secrets Manager les événements avec AWS CloudTrail.

Pour créer des secrets (console)
  1. Ouvrez la console Secrets Manager à l'adresse https://console.aws.amazon.com/secretsmanager/.

  2. Choisissez Store a new secret (Stocker un nouveau secret).

  3. Sur la page Choose secret type (Choisir un type de secret), procédez comme suit :

    1. Pour Secret type (Type de secret), effectuez l'une des opérations suivantes :

      • Pour stocker les informations d'identification de base de données, choisissez le type d'informations d'identification de base de données à stocker. Choisissez ensuite la base de données, puis entrez les informations d'identification.

      • Pour stocker API des clés, des jetons d'accès, des informations d'identification qui ne sont pas destinées aux bases de données, choisissez Autre type de secret.

        Dans les paires clé/valeur, entrez votre secret dans des paires JSON clé/valeur ou choisissez l'onglet Texte en clair et entrez le secret dans n'importe quel format. Vous pouvez stocker jusqu'à 65 536 octets dans le secret. Voici quelques exemples :

        API key

        Entrez sous forme de paires clé/valeur :

        ClientID : my_client_id

        ClientSecret : wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

        OAuth token

        Entrez en texte brut :

        AKIAI44QH8DHBEXAMPLE

        Digital certificate

        Entrez en texte brut :

        -----BEGIN CERTIFICATE----- EXAMPLE -----END CERTIFICATE-----
        Private key

        Entrez en texte brut :

        –--- BEGIN PRIVATE KEY ---- EXAMPLE ––-- END PRIVATE KEY –---
    2. Pour la clé de chiffrement, choisissez AWS KMS key que Secrets Manager utilise pour chiffrer la valeur secrète. Pour de plus amples informations, veuillez consulter Chiffrement et déchiffrement de secret.

      • Dans la plupart des cas, choisissez aws/secretsmanager pour utiliser Clé gérée par AWS pour Secrets Manager. L'utilisation de cette clé n'entraîne aucun coût.

      • Si vous devez accéder au secret depuis un autre Compte AWS, ou si vous souhaitez utiliser votre propre KMS clé pour pouvoir la faire pivoter ou lui appliquer une politique clé, choisissez une clé gérée par le client dans la liste ou choisissez Ajouter une nouvelle clé pour en créer une. Pour plus d'informations sur les coûts d'utilisation d'une clé gérée par le client, consultez Tarification.

        Vous devez disposer de Autorisations pour la KMS clé. Pour plus d'informations sur l'accès intercompte, consultez Accédez aux AWS Secrets Manager secrets depuis un autre compte.

    3. Choisissez Suivant.

  4. Sur la page Configure secret (Configurer le secret), procédez comme suit :

    1. Saisissez un Secret name (Nom de secret) descriptif et une Description. Les noms secrets peuvent contenir de 1 à 512 caractères alphanumériques et /_+ =.@- caractères.

    2. (Facultatif) Dans la section Tags (Balises), vous pouvez ajouter une ou plusieurs balises à votre secret. Pour les stratégies de balisage, consultez Mots clés : AWS Secrets Manager secrets. Ne stockez pas les informations sensibles dans des balises car elles ne sont pas chiffrées.

    3. (Facultatif) Dans Resource permissions (Permission de la ressource), pour ajouter une stratégie de ressources à votre secret, choisissez Edit permissions (Modification des autorisations). Pour de plus amples informations, veuillez consulter Politiques basées sur les ressources.

    4. (Facultatif) Dans Répliquer le secret, pour répliquer votre secret sur un autre Région AWS, choisissez Répliquer le secret. Vous pouvez reproduire votre secret maintenant ou revenir et le répliquer ultérieurement. Pour de plus amples informations, veuillez consulter Reproduisez les secrets d'une région à l'autre.

    5. Choisissez Suivant.

  5. (Facultatif) Dans la page Configure rotation (Configurer la rotation), vous pouvez activer la rotation automatique. Vous pouvez également garder la rotation désactivée pour l'instant, puis l'activer plus tard. Pour de plus amples informations, veuillez consulter Rotation des secrets. Choisissez Suivant.

  6. Dans la page Review (Révision), passez en revue vos paramètres, puis choisissez Store (Stocker).

    Secrets Manager revient à la liste des secrets. Si votre nouveau secret n'apparaît pas, choisissez le bouton d'actualisation.

AWS CLI

Lorsque saisissez des commandes dans un shell de commande, il existe un risque d'accès à l'historique des commandes ou aux paramètres de vos commandes. Consultez Réduisez les risques liés AWS CLI à l'utilisation du pour stocker vos AWS Secrets Manager secrets.

Exemple Création d'un secret à partir des informations d'identification de base de données contenues dans un JSON fichier

L'exemple suivant create-secret crée un secret à partir des informations d'identification d'un fichier. Pour plus d'informations, voir Chargement AWS CLI paramètres d'un fichier dans le AWS CLI Guide de l'utilisateur

Pour que Secrets Manager puisse faire pivoter le secret, vous devez vous assurer qu'il JSON correspond auJSONstructure d'un secret.

aws secretsmanager create-secret \ --name MyTestSecret \ --secret-string file://mycreds.json

Contenus de mycreds.json :

{ "engine": "mysql", "username": "saanvis", "password": "EXAMPLE-PASSWORD", "host": "my-database-endpoint.us-west-2.rds.amazonaws.com", "dbname": "myDatabase", "port": "3306" }
Exemple Créer un secret

L'exemple suivant create-secret crée un secret avec deux paires clé-valeur.

aws secretsmanager create-secret \ --name MyTestSecret \ --description "My test secret created with the CLI." \ --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"

AWS SDK

Pour créer un secret à l'aide de l'un des AWS SDKs, utilisez l'CreateSecretaction. Pour de plus amples informations, veuillez consulter AWS SDKs.