Qu'est-ce que c'est AWS Secrets Manager ?

AWS Secrets Manager vous permet de gérer, de récupérer et de faire pivoter les informations d'identification de base de données, les informations d'identification des applications, les jetons OAuth, les clés d'API et d'autres secrets tout au long de leur cycle de vie. De nombreux AWS services stockent et utilisent des secrets dans Secrets Manager.

Secrets Manager vous aide à améliorer votre posture de sécurité, car vous n'avez plus besoin d'informations d'identification codées en dur dans le code source des applications. Le stockage des informations d'identification dans Secrets Manager permet d'éviter toute compromission possible par quiconque peut inspecter votre application ou ses composants. Vous remplacez les informations d'identification codées en dur par un appel au service Secrets Manager au moment de l'exécution pour récupérer les informations d'identification de manière dynamique lorsque vous en avez besoin.

Avec Secrets Manager, vous pouvez planifier une rotation automatique de vos secrets. Cela vous permet de remplacer les secrets à long terme par ceux à court terme, ce qui réduit considérablement le risque de mise en danger. Les informations d'identification n'étant plus stockées dans l'application, la rotation des informations d'identification ne nécessite plus la mise à jour de vos applications et le déploiement des modifications sur les clients de l'application.

Pour d'autres types de secrets que vous pourriez avoir dans votre organisation :

• AWS informations d'identification — Nous recommandons AWS Identity and Access Management.

• Clés de chiffrement : nous vous recommandons AWS Key Management Service.

• Clés SSH : nous vous recommandons Amazon EC2 Instance Connect.

• Clés et certificats privés : nous vous recommandons AWS Certificate Manager.

Démarrer avec Secrets Manager

Si vous utilisez Secrets Manager pour la première fois, commencez avec Concepts AWS Secrets Manager ou suivez l'un des didacticiels suivants :

• Déplacer les secrets codés en dur vers AWS Secrets Manager

• Déplacez les informations d'identification codées en dur vers AWS Secrets Manager

• Configurer une rotation des utilisateurs en alternance pour AWS Secrets Manager

• Configurer la rotation utilisateur unique pour AWS Secrets Manager

Autres tâches que vous pouvez effectuer avec des secrets :

• Création et gestion des secrets

• Contrôler l'accès à vos secrets

• Récupération de secrets

• Rotation des secrets

• Surveillance des secrets

• Audit de conformité des secrets

• Créez des secrets dans AWS CloudFormation

Conformité aux normes

AWS Secrets Manager a fait l'objet d'un audit pour les multiples normes et peut faire partie de votre solution lorsque vous devez obtenir une certification de conformité. Pour de plus amples informations, veuillez consulter Validation de la conformité pour AWS Secrets Manager.

Tarification

Lorsque vous utilisez Secrets Manager, vous ne payez que pour ce que vous utilisez, sans frais minimum ni frais d'installation. Il n'y a pas de frais pour les secrets marqués pour suppression. Pour obtenir la liste de prix actuelle complète, consultez TarificationAWS Secrets Manager.

Vous pouvez utiliser Clé gérée par AWS aws/secretsmanager le Secrets Manager créé pour chiffrer vos secrets gratuitement. Si vous créez vos propres clés KMS pour chiffrer vos secrets, cela vous AWS sera facturé au AWS KMS tarif en vigueur. Pour plus d’informations, consultez Tarification d’AWS Key Management Service.

Lorsque vous activez la rotation automatique (sauf la rotation gérée), Secrets Manager utilise une AWS Lambda fonction pour faire pivoter le secret, et la fonction de rotation vous est facturée au taux Lambda actuel. Pour plus d’informations, consultez Tarification d’AWS Lambda.

Si vous l'activez AWS CloudTrail sur votre compte, vous pouvez obtenir les journaux des appels d'API envoyés par Secrets Manager. Secrets Manager enregistre tous les événements en tant qu'événements de gestion. AWS CloudTrail stocke gratuitement la première copie de tous les événements de gestion. Cependant, des frais peuvent vous être facturés pour le stockage des journaux Amazon S3 et pour Amazon SNS si vous activez la notification. En outre, si vous configurez des journaux de suivi supplémentaires, les copies supplémentaires d'événements de gestion peuvent entraîner des coûts. Pour en savoir plus, consultez AWS CloudTrail Tarification.

AWS services utilisant des AWS Secrets Manager secrets

• AWS App Runner – Consultez Référencement des variables d'environnement et Gestion des variables d'environnement dans le Guide du développeurAWS App Runner .

• AWS App2Container — Voir Gérer les secrets pour AWS App2Container dans le guide d'utilisation d'App2Container.AWS

• AWS AppConfig – Consultez Création d'un profil de configuration libre dans le Guide de l'utilisateurAWS AppConfig .

• Amazon AppFlow — VoirSecrets AWS Secrets Manager gérés par d'autres services AWS.

• AWS AppSync – Consultez Tutoriel : Aurora sans serveur dans le Guide du développeurAWS AppSync .

• Amazon Athena – Consultez Utilisation de la requête fédérée Amazon Athena dans le Guide de l'utilisateur d'Amazon Athena.

• Amazon Aurora — VoirSecrets AWS Secrets Manager gérés par d'autres services AWS.

• AWS CodeBuild— Voir Registre privé avec AWS Secrets Manager exemple CodeBuild dans le guide de l'AWS CodeBuild utilisateur.

• AWS DataSync – Voir Secrets AWS Secrets Manager gérés par d'autres services AWS.

• Amazon DataZone — Consultez la section Création d'une source de données pour une base de données Amazon Redshift à l'aide d'une nouvelle AWS Glue connexion dans le guide de DataZone l'utilisateur Amazon.

• AWS Direct Connect – Voir Secrets AWS Secrets Manager gérés par d'autres services AWS.

• AWS Directory Service— Consultez les sections Joindre facilement une instance Linux EC2 à votre répertoire Microsoft AD AWS géré, Joindre facilement une instance Linux EC2 à votre répertoire AD Connector et Joindre facilement une instance Linux EC2 à votre répertoire Simple AD dans le guide de l'AWS Direct Connect utilisateur.

• Amazon DocumentDB (compatible avec MongoDB) – Consultez Création d'un secret AWS Secrets Manager de base de données et Gérer les utilisateurs d'Amazon DocumentDB dans le Guide du développeur Amazon DocumentDB.

• AWS Elastic Beanstalk – Consultez Configuration de Docker dans le Guide du développeurAWS Elastic Beanstalk .

• Amazon Elastic Container Registry – Consultez Création d'une règle de mise en cache par extraction dans le Guide de l'utilisateur Amazon ECR.

• Amazon Elastic Container Service – Consultez le Tutoriel : spécification de données sensibles à l'aide des secrets de Secrets Manager, Extraction de secrets par programmation via votre application, Extraction de secrets via des variables d'environnement, Extraction de secrets pour la configuration de la journalisation, Tutoriel: utilisation de FSx pour les systèmes de fichiers Windows File Server avec Amazon ECS, de FSx pour les volumes de Windows File Server, et Authentification de registre privé pour les tâches dans le Guide du développeur Amazon Elastic Container Service.

• Amazon Elastic Container Service Service Connect — VoirSecrets AWS Secrets Manager gérés par d'autres services AWS.

• Amazon ElastiCache — Consultez la section Rotation automatique des mots de passe pour les utilisateurs dans le guide de ElastiCache l'utilisateur Amazon.

• AWS Elemental Live— Découvrez comment MediaConnect fonctionne la livraison de AWS Elemental Live à lors de l'exécution dans le guide de l'utilisateur d'Elemental Live.

• AWS Elemental MediaConnect : consultez la section Chiffrement par clé statique dans AWS Elemental MediaConnect (français non garanti) du Guide de l'utilisateurAWS Elemental MediaConnect .

• AWS Elemental MediaConvert— Voir Utilisation de Kantar pour le filigranage audio dans les AWS Elemental MediaConvert sorties dans le guide de l'AWS Elemental MediaConvert utilisateur.

• AWS Elemental MediaLive— Voir Configuration en MediaLive tant qu'entité de confiance dans le guide de MediaLive l'utilisateur.

• AWS Elemental MediaPackage : consultez la section Accès à Secrets Manager pour l'autorisation CDN (français non garanti) du Guide de l'utilisateurAWS Elemental MediaPackage .

• AWS Elemental MediaTailor— Voir Configuration de AWS Secrets Manager l'authentification par jeton d'accès dans le guide deAWS Elemental MediaTailor l'utilisateur.

• Amazon EMR exécuté sur Amazon EC2 – Consultez Stocker les données de configuration sensibles dans Secrets Manager et Ajouter un référentiel Git à Amazon EMR dans le Guide de gestion Amazon EMR.

• EMR sans serveur – Consultez Secrets Manager pour la protection des données avec EMR sans serveur dans le Guide de l'utilisateur Amazon EMR sans serveur.

• Amazon EventBridge — VoirSecrets AWS Secrets Manager gérés par d'autres services AWS.

• Amazon FSx – Consultez Partage de fichiers et Migration des configurations de partage de fichiers vers Amazon FSx dans le Guide de l'utilisateur Amazon FSx for Windows File Server.

• AWS Glue DataBrew – Voir Secrets AWS Secrets Manager gérés par d'autres services AWS.

• AWS Glue Studio — Voir Tutoriel : Utilisation du connecteur AWS Glue pour Elasticsearch dans le guide du AWS Glue développeur.

• AWS IoT SiteWise – Consultez Configuration de l'authentification des sources de données dans le Guide de l'utilisateurAWS IoT SiteWise .

• Amazon Kendra – Consultez Utilisation d'une source de données de base de données dans le Guide de l'utilisateur Amazon Kendra.

• Amazon Kinesis Video Streams – Consultez Déployer l'agent Amazon Kinesis Video Streams Edge vers AWS IoT Greengrass dans le Guide du développeur Amazon Kinesis Video Streams.

• AWS Launch Wizard— Voir Configuration AWS Launch Wizard pour Active Directory dans le guide de l'AWS Launch Wizard utilisateur.

• Amazon Lookout for Metrics – Consultez Utilisation d'Amazon RDS avec Surveillance pour les métriques et Utilisation d'Amazon Redshift avec Surveillance pour les métriques dans le Guide du développeur Amazon Lookout for Metrics..

• Amazon Managed Grafana – Consultez Configuration d'Amazon Redshift dans le Guide de l'utilisateur Amazon Managed Grafana.

• AWS Managed Services – Consultez AWS Secrets Manager (approvisionnement en libre-service AMS) dans le Guide de l'utilisateur avancé d'AMS.

• Amazon Managed Streaming pour Apache Kafka – Consultez Authentification par nom d'utilisateur et mot de passe avec AWS Secrets Manager dans le Guide du développeur Amazon Managed Streaming pour Apache Kafka.

• Amazon Managed Workflows for Apache Airflow — Consultez Configuration d'une connexion Apache Airflow à l'aide d'un secret Secrets Manager et Utilisation d'une clé secrète AWS Secrets Manager pour une variable Apache Airflow dans le guide de l'utilisateur Amazon Managed Workflows for Apache Airflow.

• AWS Marketplace – Voir Secrets AWS Secrets Manager gérés par d'autres services AWS.

• AWS Migration Hub— Voir Migrer NetWeaver des applications SAP vers AWS et réhéberger des applications sur Amazon EC2 dans le guide de AWS Migration Hub l'utilisateur d'Orchestrator.

• AWS OpsWorks for Chef Automate – Voir Secrets AWS Secrets Manager gérés par d'autres services AWS.

• AWS Panorama – Consultez Gestion des flux de caméras dans AWS Panorama dans le Guide du développeurAWS Panorama .

• AWS ParallelCluster – Consultez Intégration d'Active Directory dans le Guide de l'utilisateurAWS ParallelCluster .

• Amazon Q — Voir Concepts - Authentification dans le guide du développeur Amazon Q.

• Amazon QuickSight — Consultez la section Utilisation de AWS Secrets Manager secrets à la place des informations d'identification de base de données sur Amazon QuickSight dans le guide de QuickSight l'utilisateur Amazon.

• Amazon RDS – Consultez Secrets AWS Secrets Manager gérés par d'autres services AWS.

• Amazon Redshift — Voir Secrets AWS Secrets Manager gérés par d'autres services AWS Stockage des informations d'identification de base de données dans AWS Secrets Manager, Utilisation de l'API de données Amazon Redshift et Interrogation d'une base de données à l'aide de l'éditeur de requêtes du guide de gestion Amazon Redshift. Création d'un secret AWS Secrets Manager de base de données

• Éditeur de requêtes Amazon Redshift v2 – Consultez Secrets AWS Secrets Manager gérés par d'autres services AWS.

• Amazon SageMaker — Consultez Associer des référentiels Git à des instances Amazon SageMaker Notebook, Importer des données depuis Databricks (JDBC) et Importer des données depuis Snowflake dans le manuel Amazon Developer Guide. SageMaker

• AWS Schema Conversion Tool— Voir Utilisation AWS Secrets Manager dans l'interface AWS SCT utilisateur du guide de l'AWS Schema Conversion Tool utilisateur.

• AWS Toolkit for JetBrains – Consultez la section Accès aux clusters Amazon Redshift dans le Guide de l'utilisateurAWS Toolkit for JetBrains .

• AWS Transfer Family – Consultez Authentification de base pour les connecteurs AS2, Travailler avec des fournisseurs d'identité personnalisés et Générer et gérer des clés PGP dans le Guide de l'utilisateurAWS Transfer Family .

• AWS Wickr — Voir Démarrer le bot de conservation des données dans le guide d'administration deAWS Wickr.