Modifier la clé de chiffrement d'un AWS Secrets Manager secret

Secrets Manager utilise le chiffrement des enveloppes avec des AWS KMS clés et des clés de données pour protéger chaque valeur secrète. Pour chaque secret, vous pouvez choisir la KMS clé à utiliser. Vous pouvez utiliser le Clé gérée par AWS aws/secretsmanager ou vous pouvez utiliser une clé gérée par le client. Dans la plupart des cas, nous recommandons d'utiliser aws/secretsmanager qui est gratuite. Si vous devez accéder au secret depuis un autre Compte AWS utilisateur, ou si vous souhaitez utiliser votre propre KMS clé afin de pouvoir la faire pivoter ou lui appliquer une politique clé, utilisez un clé gérée par le client. Vous devez disposer de Autorisations pour la KMS clé. Pour plus d'informations sur les coûts d'utilisation d'une clé gérée par le client, consultez Tarification.

Vous pouvez modifier la clé de chiffrement de votre secret. Par exemple, si vous souhaitez accéder au secret depuis un autre compte et que le secret est actuellement chiffré à l'aide de la clé AWS géréeaws/secretsmanager, vous pouvez passer à un clé gérée par le client.

Astuce

Si vous souhaitez faire pivoter votre clé gérée par le client, nous vous recommandons d'utiliser la rotation AWS KMS automatique des touches. Pour plus d'informations, reportez-vous à la section Rotation AWS KMS des touches.

Lorsque vous modifiez la clé de chiffrement, Secrets Manager le chiffre à nouveau AWSCURRENT et AWSPENDING les AWSPREVIOUS versions utilisant la nouvelle clé. Pour ne pas vous empêcher d'accéder au secret, Secrets Manager crypte toutes les versions existantes avec la clé précédente. Cela signifie que vous pouvez déchiffrer AWSCURRENT AWSPENDING les AWSPREVIOUS versions avec la clé précédente ou la nouvelle clé. Si vous n'êtes pas kms:Decrypt autorisé à accéder à la clé précédente, lorsque vous modifiez la clé de chiffrement, Secrets Manager ne peut pas déchiffrer les versions secrètes pour les rechiffrer. Dans ce cas, les versions existantes ne sont pas rechiffrées.

Pour qu'il ne AWSCURRENT puisse être déchiffré que par la nouvelle clé de chiffrement, créez une nouvelle version du secret avec la nouvelle clé. Ensuite, pour pouvoir déchiffrer la version AWSCURRENT secrète, vous devez avoir l'autorisation d'utiliser la nouvelle clé.

Si vous désactivez la clé de chiffrement précédente, vous ne pouvez déchiffrer aucune version de secret à l'exception de AWSCURRENT, AWSPENDING et AWSPREVIOUS. Si vous avez d'autres versions de secret étiquetées auxquelles vous souhaitez conserver l'accès, vous devez recréer ces versions avec la nouvelle clé de chiffrement à l'aide de l'AWS CLI.

Pour modifier la clé de chiffrement d'un secret (console)

Ouvrez la console Secrets Manager à l'adresse https://console.aws.amazon.com/secretsmanager/.
Dans la liste des secrets, choisissez le secret.
Sur la page des détails du secret, dans la section Détails des secrets, cliquez sur Actions, puis sur Modifier la clé de chiffrement.

AWS CLI

Si vous remplacez la clé de chiffrement par un secret, puis que vous désactivez la clé de chiffrement précédente, vous ne pouvez déchiffrer aucune version de secret à l'exception de AWSCURRENT, AWSPENDING et AWSPREVIOUS. Si vous avez d'autres versions de secret étiquetées auxquelles vous souhaitez conserver l'accès, vous devez recréer ces versions avec la nouvelle clé de chiffrement à l'aide de l'AWS CLI.

Pour modifier la clé de chiffrement d'un secret (AWS CLI)

L'update-secretexemple suivant met à jour la KMS clé utilisée pour chiffrer la valeur secrète. La KMS clé doit se trouver dans la même région que le secret.
```
aws secretsmanager update-secret \
      --secret-id MyTestSecret \
      --kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE
```
(Facultatif) Si vous avez des versions de secret dotées d'étiquettes personnalisées, vous devez recréer ces versions pour les rechiffrer à l'aide de la nouvelle clé.

Lorsque saisissez des commandes dans un shell de commande, il existe un risque d'accès à l'historique des commandes ou aux paramètres de vos commandes. veuillez consulter Atténuer les risques liés à l'utilisation de l'AWS CLI pour stocker vos secrets AWS Secrets Manager.
1. Obtenez la valeur de la version de secret.
```
aws secretsmanager get-secret-value \
      --secret-id MyTestSecret \
      --version-stage MyCustomLabel
```
  Notez la valeur de secret.
2. Créez une nouvelle version avec cette valeur.
```
aws secretsmanager put-secret-value \
    --secret-id testDescriptionUpdate \
    --secret-string "SecretValue" \
    --version-stages "MyCustomLabel"
```

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Restaurer un secret dans une version précédente

Modification d'un secret