AWS Secrets Managercommandes - AWS Security Hub

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Secrets Managercommandes

Ces contrôles sont liés aux ressources de Secrets Manager.

Il est possible que ces commandes ne soient pas toutes disponiblesRégions AWS. Pour en savoir plus, consultez Disponibilité des contrôles par région.

[SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée

Exigences connexes : NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15)

Catégorie : Protéger - Développement sécurisé

Gravité : Moyenne

Type de ressource : AWS::SecretsManager::Secret

Règle AWS Config : secretsmanager-rotation-enabled-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un secret stocké dans AWS Secrets Manager est configuré avec une rotation automatique.

Secrets Manager vous aide à améliorer le niveau de sécurité de votre organisation. Les secrets incluent les informations d'identification de base de données, les mots de passe et les clés d'API tierces. Vous pouvez utiliser Secrets Manager pour stocker les secrets de manière centralisée, les chiffrer automatiquement, contrôler l'accès aux secrets et alterner les secrets de manière sécurisée et automatique.

Secrets Manager peut alterner les secrets. Vous pouvez utiliser la rotation pour remplacer les secrets à long terme par des secrets à court terme. La rotation de vos secrets limite la durée pendant laquelle un utilisateur non autorisé peut utiliser un secret compromis. Pour cette raison, vous devez fréquemment alterner vos secrets. Pour en savoir plus sur la rotation, voir Rotation de vos AWS Secrets Manager secrets dans le guide de AWS Secrets Manager l'utilisateur.

Correction

Pour activer la rotation automatique pour les secrets de Secrets Manager, voir Configurer la rotation automatique pour les AWS Secrets Manager secrets à l'aide de la console dans le Guide de AWS Secrets Manager l'utilisateur. Vous devez choisir et configurer une AWS Lambda fonction de rotation.

[SecretsManager.2] Les secrets de Secrets Manager configurés avec une rotation automatique devraient être correctement pivotés

Exigences connexes : NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15)

Catégorie : Protéger - Développement sécurisé

Gravité : Moyenne

Type de ressource : AWS::SecretsManager::Secret

Règle AWS Config : secretsmanager-scheduled-rotation-success-check

Type de calendrier : changement déclenché

Paramètres : Aucun

Ce contrôle vérifie si un AWS Secrets Manager secret a été correctement pivoté en fonction du calendrier de rotation. Le contrôle échoue si tel RotationOccurringAsScheduled est le casfalse. Le contrôle évalue uniquement les secrets dont la rotation est activée.

Secrets Manager vous aide à améliorer le niveau de sécurité de votre organisation. Les secrets incluent les informations d'identification de base de données, les mots de passe et les clés d'API tierces. Vous pouvez utiliser Secrets Manager pour stocker les secrets de manière centralisée, les chiffrer automatiquement, contrôler l'accès aux secrets et alterner les secrets de manière sécurisée et automatique.

Secrets Manager peut alterner les secrets. Vous pouvez utiliser la rotation pour remplacer les secrets à long terme par des secrets à court terme. La rotation de vos secrets limite la durée pendant laquelle un utilisateur non autorisé peut utiliser un secret compromis. Pour cette raison, vous devez fréquemment alterner vos secrets.

En plus de configurer les secrets pour qu'ils pivotent automatiquement, vous devez vous assurer que ces secrets pivotent correctement en fonction du calendrier de rotation.

Pour en savoir plus sur la rotation, voir Rotation de vos AWS Secrets Manager secrets dans le guide de AWS Secrets Manager l'utilisateur.

Correction

Si la rotation automatique échoue, il est possible que Secrets Manager ait rencontré des erreurs lors de la configuration. Pour alterner les secrets dans Secrets Manager, vous utilisez une fonction Lambda qui définit la manière d'interagir avec la base de données ou le service propriétaire du secret.

Pour obtenir de l'aide pour diagnostiquer et corriger les erreurs courantes liées à la rotation des secrets, consultez la section Résolution des problèmes liés à la AWS Secrets Manager rotation des secrets dans le Guide de AWS Secrets Manager l'utilisateur.

[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager

Exigences connexes : NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::SecretsManager::Secret

Règle AWS Config : secretsmanager-secret-unused

Type de calendrier : Périodique

Paramètres : Aucun

Ce contrôle vérifie si vos secrets ont été consultés dans un délai spécifié. La valeur par défaut est 90 jours. Si aucun secret n'a été consulté dans le délai défini, ce contrôle échoue.

La suppression des secrets inutilisés est aussi importante que la rotation des secrets. Les secrets non utilisés peuvent être utilisés à mauvais escient par leurs anciens utilisateurs, qui n'ont plus besoin d'accéder à ces secrets. De plus, au fur et à mesure que de plus en plus d'utilisateurs accèdent à un secret, quelqu'un peut l'avoir mal géré et divulgué à une entité non autorisée, ce qui augmente le risque d'abus. La suppression des secrets non utilisés permet de révoquer l'accès secret aux utilisateurs qui n'en ont plus besoin. Cela permet également de réduire le coût d'utilisation de Secrets Manager. Il est donc essentiel de supprimer régulièrement les secrets non utilisés.

Correction

Pour supprimer les secrets inactifs de Secrets Manager, voir Supprimer un AWS Secrets Manager secret dans le Guide de AWS Secrets Manager l'utilisateur.

[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié

Exigences connexes : NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15)

Catégorie : Protéger - Gestion de l'accès sécurisé

Gravité : Moyenne

Type de ressource : AWS::SecretsManager::Secret

Règle AWS Config : secretsmanager-secret-periodic-rotation

Type de calendrier : Périodique

Paramètres :

  • Période de rotation : 90 jours par défaut

Ce contrôle vérifie si vos secrets font l'objet d'une rotation au moins une fois dans les 90 jours. Le contrôle échoue si vous ne modifiez pas vos secrets au moins aussi fréquemment.

La rotation des secrets peut vous aider à réduire le risque d'utilisation non autorisée de vos secrets dans votreCompte AWS. Les exemples incluent les informations d'identification de base de données, les mots de passe, les clés d'API tierces et même le texte arbitraire. Si vous ne modifiez pas vos secrets pendant une longue période, ils sont plus susceptibles d'être compromis.

À mesure que de plus en plus d'utilisateurs ont accès à un secret, il est plus probable que quelqu'un l'ait mal géré et l'ait divulgué à une entité non autorisée. Les secrets peuvent être divulgués à travers les journaux et les données de cache. Ils peuvent être partagés à des fins de débogage et ne pas être modifiés ou révoqués une fois le débogage terminé. Pour toutes ces raisons, les secrets doivent faire l’objet d’une rotation fréquente.

Vous pouvez configurer la rotation automatique pour les secrets dansAWS Secrets Manager. Grâce à la rotation automatique, vous pouvez remplacer les secrets à long terme par des secrets à court terme, réduisant ainsi considérablement le risque de compromission. Nous vous recommandons de configurer la rotation automatique de vos secrets Secrets Manager. Pour plus d'informations, consultez Rotation de vos secrets AWS Secrets Manager dans le Guide de l'utilisateur AWS Secrets Manager.

Correction

Pour activer la rotation automatique pour les secrets de Secrets Manager, voir Configurer la rotation automatique pour les AWS Secrets Manager secrets à l'aide de la console dans le Guide de AWS Secrets Manager l'utilisateur. Vous devez choisir et configurer une AWS Lambda fonction de rotation. Entrez un calendrier de rotation qui a lieu au moins tous les 90 jours.