AWS Secrets Manager commandes - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Secrets Manager commandes

Ces contrôles sont liés aux ressources de Secrets Manager.

Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.

[SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée

Exigences connexes : NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15)

Catégorie : Protéger - Développement sécurisé

Gravité : Moyenne

Type de ressource : AWS::SecretsManager::Secret

Règle AWS Config  : secretsmanager-rotation-enabled-check

Type de calendrier : changement déclenché

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

maximumAllowedRotationFrequency

Nombre maximum de jours autorisés pour la fréquence de rotation secrète

Entier

1 sur 365

Aucune valeur par défaut

Ce contrôle vérifie si un secret stocké dans AWS Secrets Manager est configuré avec une rotation automatique. Le contrôle échoue si le secret n'est pas configuré avec une rotation automatique. Si vous fournissez une valeur personnalisée pour le maximumAllowedRotationFrequency paramètre, le contrôle est transféré uniquement si le secret est automatiquement pivoté dans la fenêtre de temps spécifiée.

Secrets Manager vous aide à améliorer le niveau de sécurité de votre organisation. Les secrets incluent les informations d'identification de base de données, les mots de passe et les clés d'API tierces. Vous pouvez utiliser Secrets Manager pour stocker les secrets de manière centralisée, les chiffrer automatiquement, contrôler l'accès aux secrets et alterner les secrets de manière sécurisée et automatique.

Secrets Manager peut alterner les secrets. Vous pouvez utiliser la rotation pour remplacer les secrets à long terme par des secrets à court terme. La rotation de vos secrets limite la durée pendant laquelle un utilisateur non autorisé peut utiliser un secret compromis. Pour cette raison, vous devez fréquemment alterner vos secrets. Pour en savoir plus sur la rotation, voir Rotation de vos AWS Secrets Manager secrets dans le guide de AWS Secrets Manager l'utilisateur.

Correction

Pour activer la rotation automatique pour les secrets de Secrets Manager, voir Configurer la rotation automatique pour les AWS Secrets Manager secrets à l'aide de la console dans le Guide de AWS Secrets Manager l'utilisateur. Vous devez choisir et configurer une AWS Lambda fonction de rotation.

[SecretsManager.2] Les secrets de Secrets Manager configurés avec une rotation automatique devraient être correctement pivotés

Exigences connexes : NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15)

Catégorie : Protéger - Développement sécurisé

Gravité : Moyenne

Type de ressource : AWS::SecretsManager::Secret

Règle AWS Config  : secretsmanager-scheduled-rotation-success-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un AWS Secrets Manager secret a été correctement pivoté en fonction du calendrier de rotation. Le contrôle échoue si tel RotationOccurringAsScheduled est le casfalse. Le contrôle évalue uniquement les secrets dont la rotation est activée.

Secrets Manager vous aide à améliorer le niveau de sécurité de votre organisation. Les secrets incluent les informations d'identification de base de données, les mots de passe et les clés d'API tierces. Vous pouvez utiliser Secrets Manager pour stocker les secrets de manière centralisée, les chiffrer automatiquement, contrôler l'accès aux secrets et alterner les secrets de manière sécurisée et automatique.

Secrets Manager peut alterner les secrets. Vous pouvez utiliser la rotation pour remplacer les secrets à long terme par des secrets à court terme. La rotation de vos secrets limite la durée pendant laquelle un utilisateur non autorisé peut utiliser un secret compromis. Pour cette raison, vous devez fréquemment alterner vos secrets.

En plus de configurer les secrets pour qu'ils pivotent automatiquement, vous devez vous assurer que ces secrets pivotent correctement en fonction du calendrier de rotation.

Pour en savoir plus sur la rotation, voir Rotation de vos AWS Secrets Manager secrets dans le guide de AWS Secrets Manager l'utilisateur.

Correction

Si la rotation automatique échoue, il est possible que Secrets Manager ait rencontré des erreurs lors de la configuration. Pour alterner les secrets dans Secrets Manager, vous utilisez une fonction Lambda qui définit comment interagir avec la base de données ou le service propriétaire du secret.

Pour obtenir de l'aide pour diagnostiquer et corriger les erreurs courantes liées à la rotation des secrets, consultez la section Résolution des problèmes liés à la AWS Secrets Manager rotation des secrets dans le Guide de AWS Secrets Manager l'utilisateur.

[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager

Exigences connexes : NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::SecretsManager::Secret

Règle AWS Config  : secretsmanager-secret-unused

Type de calendrier : Périodique

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

unusedForDays

Nombre maximal de jours pendant lesquels un secret peut rester inutilisé

Entier

1 sur 365

90

Ce contrôle vérifie si un AWS Secrets Manager secret a été consulté dans le délai spécifié. Le contrôle échoue si un secret n'est pas utilisé au-delà de la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période d'accès, Security Hub utilise une valeur par défaut de 90 jours.

La suppression des secrets inutilisés est aussi importante que la rotation des secrets. Les secrets non utilisés peuvent être utilisés à mauvais escient par leurs anciens utilisateurs, qui n'ont plus besoin d'accéder à ces secrets. De plus, au fur et à mesure que de plus en plus d'utilisateurs accèdent à un secret, quelqu'un peut l'avoir mal géré et divulgué à une entité non autorisée, ce qui augmente le risque d'abus. La suppression des secrets non utilisés permet de révoquer l'accès secret aux utilisateurs qui n'en ont plus besoin. Cela permet également de réduire le coût d'utilisation de Secrets Manager. Il est donc essentiel de supprimer régulièrement les secrets non utilisés.

Correction

Pour supprimer les secrets inactifs de Secrets Manager, voir Supprimer un AWS Secrets Manager secret dans le Guide de AWS Secrets Manager l'utilisateur.

[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié

Exigences connexes : NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::SecretsManager::Secret

Règle AWS Config  : secretsmanager-secret-periodic-rotation

Type de calendrier : Périodique

Paramètres :

Paramètre Description Type Valeurs personnalisées autorisées Valeur par défaut de Security Hub

maxDaysSinceRotation

Nombre maximum de jours pendant lesquels un secret peut rester inchangé

Entier

1 sur 180

90

Ce contrôle vérifie si un AWS Secrets Manager secret fait l'objet d'une rotation au moins une fois dans le délai spécifié. Le contrôle échoue si un secret n'est pas modifié au moins aussi fréquemment. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de rotation, Security Hub utilise une valeur par défaut de 90 jours.

La rotation des secrets peut vous aider à réduire le risque d'utilisation non autorisée de vos secrets dans votre Compte AWS. Les exemples incluent les informations d'identification de base de données, les mots de passe, les clés d'API tierces et même le texte arbitraire. Si vous ne modifiez pas vos secrets pendant une longue période, ils sont plus susceptibles d'être compromis.

À mesure que de plus en plus d'utilisateurs ont accès à un secret, il est plus probable que quelqu'un l'ait mal géré et l'ait divulgué à une entité non autorisée. Les secrets peuvent être divulgués à travers les journaux et les données de cache. Ils peuvent être partagés à des fins de débogage et ne pas être modifiés ou révoqués une fois le débogage terminé. Pour toutes ces raisons, les secrets doivent faire l’objet d’une rotation fréquente.

Vous pouvez configurer la rotation automatique pour les secrets dans AWS Secrets Manager. Grâce à la rotation automatique, vous pouvez remplacer les secrets à long terme par des secrets à court terme, réduisant ainsi considérablement le risque de compromission. Nous vous recommandons de configurer la rotation automatique des secrets de vos Secrets Manager. Pour plus d'informations, consultez Rotation de vos secrets AWS Secrets Manager dans le Guide de l'utilisateur AWS Secrets Manager .

Correction

Pour activer la rotation automatique pour les secrets de Secrets Manager, voir Configurer la rotation automatique pour les AWS Secrets Manager secrets à l'aide de la console dans le Guide de AWS Secrets Manager l'utilisateur. Vous devez choisir et configurer une AWS Lambda fonction de rotation.