Créez un AWS Secrets Manager secret - AWS Secrets Manager
AWS CLIAWS SDK

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez un AWS Secrets Manager secret

Pour stocker des clés API, des jetons d'accès et des informations d'identification qui ne sont pas destinées aux bases de données et d'autres secrets dans Secrets Manager, procédez comme suit. Pour un ElastiCache secret Amazon, si vous souhaitez activer la rotation, vous devez le stocker dans la structure JSON attendue.

Pour créer un secret, vous devez disposer des autorisations accordées par le SecretsManagerReadWriteAWS politiques gérées.

Secrets Manager génère une entrée de CloudTrail journal lorsque vous créez un secret. Pour plus d’informations, consultez Enregistrez AWS Secrets Manager les événements avec AWS CloudTrail.

Pour créer des secrets (console)

  1. Ouvrez la console Secrets Manager en suivant le lien https://console.aws.amazon.com/secretsmanager/.

  2. Choisissez Store a new secret (Stocker un nouveau secret).

  3. Sur la page Choose secret type (Choisir un type de secret), procédez comme suit :

    1. Pour Secret type (Type de secret), choisissez Other type of secret (Autre type de secret).

    2. Dans Paires clé/valeur, vous devez soit saisir votre secret dans les paires Clé/valeur JSON, soit choisir l'onglet Plaintext et saisir le secret dans n'importe quel format. Vous pouvez stocker jusqu'à 65 536 octets dans le secret. Voici quelques exemples :

      Paires clé-valeur de la clé d'API :

      ClientID : my_client_id

      ClientSecret: bPxRfiwJalrXUtnFEMI/K7MDENG/CYEXAMPLEKEY
      Paires clé-valeur des informations d'identification :

      Username : saanvis

      Password : EXAMPLE-PASSWORD
      Texte brut du jeton OAuth :

      AKIAI44QH8DHBEXAMPLE
      Certificat numérique en texte brut :
      -----BEGIN CERTIFICATE-----
EXAMPLE
-----END CERTIFICATE-----
      Clé privée en texte brut : 
      –---BEGIN PRIVATE KEY –--
EXAMPLE
––-- END PRIVATE KEY –---

    3. Pour la clé de chiffrement, choisissez celle AWS KMS key que Secrets Manager utilise pour chiffrer la valeur secrète. Pour plus d’informations, consultez Chiffrement et déchiffrement de secret.

      • Dans la plupart des cas, choisissez aws/secretsmanager afin d'utiliser la Clé gérée par AWS pour Secrets Manager. L'utilisation de cette clé n'entraîne aucun coût.

      • Si vous devez accéder au secret par un tiers Compte AWS, ou si vous souhaitez utiliser votre propre clé KMS afin de pouvoir la faire pivoter ou lui appliquer une politique clé, choisissez une clé gérée par le client dans la liste ou choisissez Ajouter une nouvelle clé pour en créer une. Pour plus d'informations sur les coûts d'utilisation d'une clé gérée par le client, consultez Tarification.

        Vous devez disposer de Autorisations pour la clé KMS. Pour plus d'informations sur l'accès intercompte, consultez Accédez aux AWS Secrets Manager secrets depuis un autre compte.

    4. Choisissez Suivant.

  4. Sur la page Configure secret (Configurer le secret), procédez comme suit :

    1. Saisissez un Secret name (Nom de secret) descriptif et une Description. Les noms des secrets doivent contenir entre 1 et 512 caractères Unicode.

    2. (Facultatif) Dans la section Tags (Balises), vous pouvez ajouter une ou plusieurs balises à votre secret. Pour les stratégies de balisage, consultez Étiqueter les secrets AWS Secrets Manager. Ne stockez pas les informations sensibles dans des balises car elles ne sont pas chiffrées.

    3. (Facultatif) Dans Resource permissions (Permission de la ressource), pour ajouter une stratégie de ressources à votre secret, choisissez Edit permissions (Modification des autorisations). Pour plus d’informations, consultez Attacher une stratégie d'autorisation à un secret AWS Secrets Manager.

    4. (Facultatif) Dans Répliquer le secret, pour répliquer votre secret vers un autre Région AWS, choisissez Répliquer le secret. Vous pouvez reproduire votre secret maintenant ou revenir et le répliquer ultérieurement. Pour plus d’informations, consultez Reproduisez les secrets d'une région à l'autre.

    5. Choisissez Suivant.

  5. (Facultatif) Dans la page Configure rotation (Configurer la rotation), vous pouvez activer la rotation automatique. Vous pouvez également garder la rotation désactivée pour l'instant, puis l'activer plus tard. Pour plus d’informations, consultez Rotation des secrets. Choisissez Suivant.

  6. Dans la page Review (Révision), passez en revue vos paramètres, puis choisissez Store (Stocker).

    Secrets Manager revient à la liste des secrets. Si votre nouveau secret n'apparaît pas, choisissez le bouton d'actualisation.

AWS CLI

Lorsque saisissez des commandes dans un shell de commande, il existe un risque d'accès à l'historique des commandes ou aux paramètres de vos commandes. veuillez consulter Atténuer les risques liés à l'utilisation de l'AWS CLI pour stocker vos secrets AWS Secrets Manager.

Exemple Créer un secret

L'exemple suivant create-secret crée un secret avec deux paires clé-valeur.

aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
Exemple Création d'un secret à partir des informations d'identification d'un fichier JSON

L'exemple suivant create-secret crée un secret à partir des informations d'identification d'un fichier. Pour plus d'informations, consultez la section Chargement de AWS CLI paramètres à partir d'un fichier dans le Guide de AWS CLI l'utilisateur.

aws secretsmanager create-secret \
    --name MyTestSecret \
    --secret-string file://mycreds.json

Contenus de mycreds.json :

{
    "username": "diegor",
    "password": "EXAMPLE-PASSWORD"
}

AWS SDK

Pour créer un secret à l'aide de l'un des AWS SDK, utilisez l'CreateSecretaction. Pour plus d'informations, voir AWS SDK.