Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Reproduisez les AWS Secrets Manager secrets d'une région à l'autre
<a name="replicate-secrets"></a>

Vous pouvez reproduire vos secrets en plusieurs exemplaires Régions AWS pour prendre en charge des applications réparties dans ces régions afin de répondre aux exigences régionales en matière d'accès et de faible latence. Si vous en avez besoin ultérieurement, vous pouvez [transformer un secret de réplique en un secret autonome](standalone-secret.md), puis le configurer pour une réplication indépendante. Secrets Manager réplique les données et métadonnées chiffrées du secret, telles que les identifications et les politiques de ressources, dans les régions spécifiées. 

L'ARN d'un secret répliqué est identique au secret principal à l'exception de la région, par exemple :
+ Secret principal :`arn:aws:secretsmanager:Region1:123456789012:secret:MySecret-a1b2c3`
+ Secret de réplica : `arn:aws:secretsmanager:Region2:123456789012:secret:MySecret-a1b2c3`

Pour obtenir des informations sur la tarification des secrets de réplica, veuillez consulter la [Tarification d'AWS Secrets Manager](https://aws.amazon.com/secrets-manager/pricing/).

Lorsque vous stockez les informations d'identification de base de données pour une base de données source répliquée vers d'autres régions, le secret contient des informations de connexion pour la base de données source. Si vous répliquez ensuite le secret, les réplicas sont des copies du secret source et contiennent les mêmes informations de connexion. Vous pouvez ajouter des key/value paires supplémentaires au secret pour obtenir des informations de connexion régionales.

Si vous activez la rotation pour votre secret principal, Secrets Manager effectue une rotation du secret dans la région principale et la nouvelle valeur du secret se propage à tous les secrets répliqués associés. Vous n'avez pas à gérer la rotation individuellement pour tous les secrets répliqués. 

Vous pouvez reproduire les secrets dans toutes vos AWS régions activées. Toutefois, si vous utilisez Secrets Manager dans des AWS régions spéciales telles que AWS GovCloud (US) la Chine, vous ne pouvez configurer les secrets et les répliques que dans ces AWS régions spécialisées. Vous ne pouvez pas répliquer un secret de vos AWS régions activées vers une région spécialisée, ni reproduire un secret d'une région spécialisée vers une région commerciale. 

Avant de pouvoir répliquer un secret vers une autre région, vous devez activer cette région. Pour plus d'informations, consultez [Gestion des régions AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable).

Il est possible d'utiliser un secret dans plusieurs régions sans le répliquer en appelant le point de terminaison Secrets Manager dans la région où le secret est stocké. Pour obtenir la liste des points de terminaison , consultez [AWS Secrets Manager points de terminaison](asm_access.md#endpoints). Pour utiliser la réplication afin d'améliorer la résilience de votre charge de travail, consultez [Disaster Recovery Architecture on AWS, Part I : Strategies for Recovery in the Cloud](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-i-strategies-for-recovery-in-the-cloud/).

Secrets Manager génère une entrée de CloudTrail journal lorsque vous répliquez un secret. Pour de plus amples informations, veuillez consulter [Enregistrez AWS Secrets Manager les événements avec AWS CloudTrail](monitoring-cloudtrail.md).

**Pour répliquer un secret vers d'autres régions (console)**

1. Ouvrez la console Secrets Manager à l'adresse [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Dans la liste des secrets, choisissez le secret.

1. Sur la page Détails du secret, sous l'onglet **Réplication** procédez de l'une des manières suivantes :
   + Si votre secret n'est pas répliqué, choisissez **Replicate secret** (Répliquer le secret).
   + Si votre secret est répliqué, dans la section **Replicate secret** (Répliquer le secret), choisissez **Add Region** (Ajouter une région).

1. Dans la boîte de dialogue **Add replica regions**, procédez comme suit :

   1. Pour **AWS Région**, choisissez la région dans laquelle vous souhaitez répliquer le secret.

   1. (Facultatif) Pour **Clé de chiffrement**, choisissez une clé KMS avec laquelle chiffrer le secret. La clé doit se trouver dans la région de la réplique.

   1. (Facultatif) Pour ajouter une autre région, choisissez **Add more regions** (Ajouter des régions supplémentaires).

   1. Choisissez **Replicate** (Répliquer).

   Vous revenez à la page des détails du secret. Dans la section **Replicate secret** (Répliquer le secret), l'**état de réplication** s'affiche pour chaque région. 

## AWS CLI
<a name="replicate-secrets_CLI"></a>

**Example Réplication d'un secret vers une autre région**  
L'exemple suivant [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/replicate-secret-to-regions.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/replicate-secret-to-regions.html) réplique un secret vers la zone eu-west-3. La réplique est chiffrée à l'aide de la clé AWS gérée**aws/secretsmanager**.  

```
aws secretsmanager replicate-secret-to-regions \
        --secret-id MyTestSecret \
        --add-replica-regions Region=eu-west-3
```

**Example Créez un secret et dupliquez-le**  
L'[exemple](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/create-secret.html) suivant crée un secret et le réplique dans eu-west-3. La réplique est cryptée à l'aide du Clé gérée par AWS **aws/secretsmanager**.  

```
aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
    --add-replica-regions Region=eu-west-3
```

## AWS SDK
<a name="replicate-secrets_SDK"></a>

Pour répliquer un secret, utilisez la commande [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html). Pour de plus amples informations, veuillez consulter [AWS SDKs](asm_access.md#asm-sdks).

# Transformez une réplique de secret en secret autonome dans AWS Secrets Manager
<a name="standalone-secret"></a>

Un secret de réplique est un secret qui est répliqué d'un secret principal vers un autre Région AWS. Il possède la même valeur et les mêmes métadonnées de secret que le principal, mais il peut être chiffré avec une clé KMS différente. Un secret répliqué ne peut pas être mis à jour indépendamment de son secret principal, sauf pour sa clé de chiffrement. Promouvoir un secret répliqué déconnecte le secret répliqué du secret principal et fait du secret répliqué un secret autonome. Les modifications apportées au secret principal ne seront pas répliquées au secret autonome. 

Vous pouvez promouvoir un secret répliqué à un secret autonome comme une solution de reprise après sinistre si le secret principal devient indisponible. Vous pouvez également promouvoir un réplica vers un secret autonome si vous souhaitez activer la rotation pour le réplica.

Si vous promouvez un réplica, veillez à mettre à jour les applications correspondantes pour utiliser le secret autonome. 

Secrets Manager génère une entrée de CloudTrail journal lorsque vous promouvez un secret. Pour de plus amples informations, veuillez consulter [Enregistrez AWS Secrets Manager les événements avec AWS CloudTrail](monitoring-cloudtrail.md).

**Pour promouvoir un secret répliqué (console)**

1. Connectez-vous au Secrets Manager à l'adresse [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/). 

1. Accédez à la région de réplique. 

1. Dans la page **Secrets**, choisissez le secret répliqué.

1. Dans la page sur les détails du secret répliqué, choisissez **Promote to standalone secret** (Promouvoir en un secret autonome).

1. Dans la boîte de dialogue **Promote replica to standalone secret** (Promouvoir un secret répliqué en un secret autonome), saisissez la région, puis choisissez **Promote replica** (Promouvoir la réplique).

## AWS CLI
<a name="standalone-secret-cli"></a>

**Example Promouvoir un secret répliqué en secret principal**  
L'exemple suivant [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html) supprime le lien entre un secret de réplique et le secret principal. Le secret répliqué est promu en secret principal dans la région de la réplique. Vous devez appeler [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html) depuis la région où se trouve la réplique.  

```
aws secretsmanager stop-replication-to-replica \
    --secret-id MyTestSecret
```

## AWS SDK
<a name="standalone-secret-sdk"></a>

Pour promouvoir un réplica vers un secret autonome, utilisez la commande [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html). Vous devez appeler cette commande depuis la région du secret répliqué. Pour de plus amples informations, veuillez consulter [AWS SDKs](asm_access.md#asm-sdks).

# Empêcher AWS Secrets Manager la réplication
<a name="replicate-secrets-permissions"></a>

Étant donné que les secrets peuvent être répliqués à l'aide de [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html)ou lorsqu'ils sont créés à l'aide de ceux-ci [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html), si vous souhaitez empêcher les utilisateurs de répliquer des secrets, nous vous recommandons d'empêcher les actions contenant le `AddReplicaRegions` paramètre. Vous pouvez utiliser une `Condition` déclaration dans vos politiques d'autorisation pour autoriser uniquement les actions qui n'ajoutent pas de zones de réplication. Consultez les exemples de politique suivants pour les déclarations de condition que vous pouvez utiliser.

**Example Empêcher l'autorisation de réplication**  
L'exemple de politique suivant montre comment autoriser toutes les actions qui n'ajoutent pas de régions de réplication. Cela empêche les utilisateurs de répliquer des secrets par le biais de `ReplicateSecretToRegions` et`CreateSecret`.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:*",
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:AddReplicaRegions": "true"
        }
      }
    }
  ]
}
```

**Example Autoriser la réplication uniquement pour des régions spécifiques**  
La politique suivante indique comment autoriser tous les éléments suivants :  
+ Créez des secrets sans réplication
+ Créez des secrets en les répliquant uniquement dans les régions des États-Unis d'Amérique et du Canada
+ Répliquez les secrets dans les régions des États-Unis d'Amérique et du Canada uniquement   
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:CreateSecret",
        "secretsmanager:ReplicateSecretToRegions"
      ],
      "Resource": "*",
      "Condition": {
        "ForAllValues:StringLike": {
          "secretsmanager:AddReplicaRegions": [
            "us-*",
            "ca-*"
          ]
        }
      }
    }
  ]
}
```

# Résoudre les problèmes de réplication AWS Secrets Manager
<a name="replicate-secrets_troubleshoot"></a>

AWS Secrets Manager la réplication peut échouer pour diverses raisons. Pour vérifier pourquoi un secret n'a pas pu être répliqué, vous pouvez effectuer l'une des opérations suivantes :
+ Appelez l'opération `DescribeSecret` API
+ Passez en revue AWS CloudTrail les événements

En cas d'échec de la réplication :
+ S'il n'existe aucune version secrète utilisable, Secrets Manager supprime le secret de la région de réplication.
+ Si des versions secrètes ont été répliquées avec succès, elles restent dans la région de réplication jusqu'à ce que vous les supprimiez explicitement à l'aide de l'opération `RemoveRegionsFromReplication` d'API.

Les sections suivantes décrivent certaines causes courantes des échecs de réplication.

## Un secret avec le même nom existe dans la région sélectionnée
<a name="w2aac17c33c13"></a>

Pour résoudre ce problème, vous pouvez écraser le secret du nom dupliqué dans la région de réplica. Réessayer la réplication, puis dans la boîte de dialogue **Retry replication** (Réessayer la réplication), choisissez **Overwrite** (Écraser).

## Aucune autorisation disponible sur la clé KMS pour terminer la réplication
<a name="w2aac17c33c15"></a>

Secrets Manager décrypte d'abord le secret avant de le crypter de nouveau avec la nouvelle clé KMS de la région de réplication. Si `kms:Decrypt` ne vous autorise pas à accéder à la clé de chiffrement dans la région principale, vous rencontrerez cette erreur. Pour chiffrer le secret répliqué avec une clé KMS autre que `aws/secretsmanager`, vous avez besoin de `kms:GenerateDataKey` et de `kms:Encrypt` pour la clé. Consultez [Autorisations pour la clé KMS](security-encryption.md#security-encryption-authz).

## La clé KMS est désactivée ou introuvable
<a name="w2aac17c33c17"></a>

Secrets Manager ne peut pas répliquer le secret si la clé de chiffrement de la région principale est désactivée ou supprimée. Si le secret contient des [versions étiquetées personnalisées](whats-in-a-secret.md#term_version) chiffrées avec la clé de chiffrement désactivée ou supprimée, cette erreur peut se produire même si vous avez modifié la clé de chiffrement. Pour plus d'informations sur le mode de chiffrement de Secrets Manager, consultez la section [Chiffrement et déchiffrement secrets dans AWS Secrets Manager](security-encryption.md). Pour contourner ce problème, vous pouvez recréer les versions de secret afin que Secrets Manager les chiffre avec la clé de chiffrement actuelle. Pour de plus amples informations, consultez la section [Modification de la clé de chiffrement d'un secret](manage_update-encryption-key.md#manage_update-encryption-key_CLI) (français non garanti). Réessayez ensuite la réplication.

```
aws secretsmanager put-secret-value \
  --secret-id testDescriptionUpdate \
  --secret-string "SecretValue" \
  --version-stages "MyCustomLabel"
```

## Vous n'avez pas activé la région dans laquelle la réplication se produit
<a name="w2aac17c33c19"></a>

Pour des informations sur comment activer une région, consultez [Gestion des régions AWS .](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) dans le *Guide de référence de la gestion des comptes AWS *.