Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Secrets Manager commandes
Ces contrôles sont liés aux ressources de Secrets Manager.
Il est possible que ces commandes ne soient pas toutes disponibles Régions AWS. Pour plus d’informations, consultez Disponibilité des contrôles par région.
[SecretsManager.1] La rotation automatique des secrets de Secrets Manager doit être activée
Exigences connexes : NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15)
Catégorie : Protéger - Développement sécurisé
Gravité : Moyenne
Type de ressource : AWS::SecretsManager::Secret
Règle AWS Config : secretsmanager-rotation-enabled-check
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Nombre maximum de jours autorisés pour la fréquence de rotation secrète |
Entier |
|
Aucune valeur par défaut |
Ce contrôle vérifie si un secret stocké dans AWS Secrets Manager est configuré avec une rotation automatique. Le contrôle échoue si le secret n'est pas configuré avec une rotation automatique. Si vous fournissez une valeur personnalisée pour le maximumAllowedRotationFrequency paramètre, le contrôle est transféré uniquement si le secret est automatiquement pivoté dans la fenêtre de temps spécifiée.
Secrets Manager vous aide à améliorer le niveau de sécurité de votre organisation. Les secrets incluent les informations d'identification de base de données, les mots de passe et les clés d'API tierces. Vous pouvez utiliser Secrets Manager pour stocker les secrets de manière centralisée, les chiffrer automatiquement, contrôler l'accès aux secrets et alterner les secrets de manière sécurisée et automatique.
Secrets Manager peut alterner les secrets. Vous pouvez utiliser la rotation pour remplacer les secrets à long terme par des secrets à court terme. La rotation de vos secrets limite la durée pendant laquelle un utilisateur non autorisé peut utiliser un secret compromis. Pour cette raison, vous devez fréquemment alterner vos secrets. Pour en savoir plus sur la rotation, voir Rotation de vos AWS Secrets Manager secrets dans le guide de AWS Secrets Manager l'utilisateur.
Correction
Pour activer la rotation automatique pour les secrets de Secrets Manager, voir Configurer la rotation automatique pour les AWS Secrets Manager secrets à l'aide de la console dans le Guide de AWS Secrets Manager l'utilisateur. Vous devez choisir et configurer une AWS Lambda fonction de rotation.
[SecretsManager.2] Les secrets de Secrets Manager configurés avec une rotation automatique devraient être correctement pivotés
Exigences connexes : NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15)
Catégorie : Protéger - Développement sécurisé
Gravité : Moyenne
Type de ressource : AWS::SecretsManager::Secret
Règle AWS Config : secretsmanager-scheduled-rotation-success-check
Type de calendrier : changement déclenché
Paramètres : Aucun
Ce contrôle vérifie si un AWS Secrets Manager secret a été correctement pivoté en fonction du calendrier de rotation. Le contrôle échoue si tel RotationOccurringAsScheduled est le casfalse. Le contrôle évalue uniquement les secrets dont la rotation est activée.
Secrets Manager vous aide à améliorer le niveau de sécurité de votre organisation. Les secrets incluent les informations d'identification de base de données, les mots de passe et les clés d'API tierces. Vous pouvez utiliser Secrets Manager pour stocker les secrets de manière centralisée, les chiffrer automatiquement, contrôler l'accès aux secrets et alterner les secrets de manière sécurisée et automatique.
Secrets Manager peut alterner les secrets. Vous pouvez utiliser la rotation pour remplacer les secrets à long terme par des secrets à court terme. La rotation de vos secrets limite la durée pendant laquelle un utilisateur non autorisé peut utiliser un secret compromis. Pour cette raison, vous devez fréquemment alterner vos secrets.
En plus de configurer les secrets pour qu'ils pivotent automatiquement, vous devez vous assurer que ces secrets pivotent correctement en fonction du calendrier de rotation.
Pour en savoir plus sur la rotation, voir Rotation de vos AWS Secrets Manager secrets dans le guide de AWS Secrets Manager l'utilisateur.
Correction
Si la rotation automatique échoue, il est possible que Secrets Manager ait rencontré des erreurs lors de la configuration. Pour alterner les secrets dans Secrets Manager, vous utilisez une fonction Lambda qui définit comment interagir avec la base de données ou le service propriétaire du secret.
Pour obtenir de l'aide pour diagnostiquer et corriger les erreurs courantes liées à la rotation des secrets, consultez la section Résolution des problèmes liés à la AWS Secrets Manager rotation des secrets dans le Guide de AWS Secrets Manager l'utilisateur.
[SecretsManager.3] Supprimer les secrets inutilisés du Gestionnaire de Secrets Manager
Exigences connexes : NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15)
Catégorie : Protéger - Gestion de l'accès sécurisé
Gravité : Moyenne
Type de ressource : AWS::SecretsManager::Secret
Règle AWS Config : secretsmanager-secret-unused
Type de calendrier : Périodique
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Nombre maximal de jours pendant lesquels un secret peut rester inutilisé |
Entier |
|
|
Ce contrôle vérifie si un AWS Secrets Manager secret a été consulté dans le délai spécifié. Le contrôle échoue si un secret n'est pas utilisé au-delà de la période spécifiée. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période d'accès, Security Hub utilise une valeur par défaut de 90 jours.
La suppression des secrets inutilisés est aussi importante que la rotation des secrets. Les secrets non utilisés peuvent être utilisés à mauvais escient par leurs anciens utilisateurs, qui n'ont plus besoin d'accéder à ces secrets. De plus, au fur et à mesure que de plus en plus d'utilisateurs accèdent à un secret, quelqu'un peut l'avoir mal géré et divulgué à une entité non autorisée, ce qui augmente le risque d'abus. La suppression des secrets non utilisés permet de révoquer l'accès secret aux utilisateurs qui n'en ont plus besoin. Cela permet également de réduire le coût d'utilisation de Secrets Manager. Il est donc essentiel de supprimer régulièrement les secrets non utilisés.
Correction
Pour supprimer les secrets inactifs de Secrets Manager, voir Supprimer un AWS Secrets Manager secret dans le Guide de AWS Secrets Manager l'utilisateur.
[SecretsManager.4] Les secrets de Secrets Manager doivent être renouvelés dans un délai spécifié
Exigences connexes : NIST.800-53.R5 AC-2 (1), NIST.800-53.R5 AC-3 (15)
Catégorie : Protéger - Gestion de l'accès sécurisé
Gravité : Moyenne
Type de ressource : AWS::SecretsManager::Secret
Règle AWS Config : secretsmanager-secret-periodic-rotation
Type de calendrier : Périodique
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
|
|
Nombre maximum de jours pendant lesquels un secret peut rester inchangé |
Entier |
|
|
Ce contrôle vérifie si un AWS Secrets Manager secret fait l'objet d'une rotation au moins une fois dans le délai spécifié. Le contrôle échoue si un secret n'est pas modifié au moins aussi fréquemment. À moins que vous ne fournissiez une valeur de paramètre personnalisée pour la période de rotation, Security Hub utilise une valeur par défaut de 90 jours.
La rotation des secrets peut vous aider à réduire le risque d'utilisation non autorisée de vos secrets dans votre Compte AWS. Les exemples incluent les informations d'identification de base de données, les mots de passe, les clés d'API tierces et même le texte arbitraire. Si vous ne modifiez pas vos secrets pendant une longue période, ils sont plus susceptibles d'être compromis.
À mesure que de plus en plus d'utilisateurs ont accès à un secret, il est plus probable que quelqu'un l'ait mal géré et l'ait divulgué à une entité non autorisée. Les secrets peuvent être divulgués à travers les journaux et les données de cache. Ils peuvent être partagés à des fins de débogage et ne pas être modifiés ou révoqués une fois le débogage terminé. Pour toutes ces raisons, les secrets doivent faire l’objet d’une rotation fréquente.
Vous pouvez configurer la rotation automatique pour les secrets dans AWS Secrets Manager. Grâce à la rotation automatique, vous pouvez remplacer les secrets à long terme par des secrets à court terme, réduisant ainsi considérablement le risque de compromission. Nous vous recommandons de configurer la rotation automatique de vos secrets Secrets Manager. Pour plus d'informations, consultez Rotation de vos secrets AWS Secrets Manager dans le Guide de l'utilisateur AWS Secrets Manager .
Correction
Pour activer la rotation automatique pour les secrets de Secrets Manager, voir Configurer la rotation automatique pour les AWS Secrets Manager secrets à l'aide de la console dans le Guide de AWS Secrets Manager l'utilisateur. Vous devez choisir et configurer une AWS Lambda fonction de rotation.
[SecretsManager.5] Les secrets de Secrets Manager doivent être balisés
Catégorie : Identifier > Inventaire > Étiquetage
Gravité : Faible
Type de ressource : AWS::SecretsManager::Secret
AWS Config règle : tagged-secretsmanager-secret (règle Security Hub personnalisée)
Type de calendrier : changement déclenché
Paramètres :
| Paramètre | Description | Type | Valeurs personnalisées autorisées | Valeur par défaut de Security Hub |
|---|---|---|---|---|
requiredTagKeys
|
Liste des clés de balise de la ressource évaluée que doit contenir la ressource évaluée. Les clés de balises sont sensibles à la casse. | StringList | Liste des tags répondant aux AWS exigences |
No default value
|
Ce contrôle vérifie si un AWS Secrets Manager secret possède des balises avec les clés spécifiques définies dans le paramètrerequiredTagKeys. Le contrôle échoue si le secret ne possède aucune clé de balise ou s'il ne possède pas toutes les clés spécifiées dans le paramètrerequiredTagKeys. Si le paramètre requiredTagKeys n'est pas fourni, le contrôle vérifie uniquement l'existence d'une clé de balise et échoue si le secret n'est marqué d'aucune clé. Les balises système, qui sont automatiquement appliquées et commencent paraws:, sont ignorées.
Une balise est une étiquette que vous attribuez à une AWS ressource. Elle se compose d'une clé et d'une valeur facultative. Vous pouvez créer des balises pour classer vos ressources par objectif, propriétaire, environnement ou selon d'autres critères. Les balises peuvent vous aider à identifier, organiser, rechercher et filtrer les ressources. Le balisage vous permet également de suivre les propriétaires de ressources responsables en ce qui concerne les actions et les notifications. Lorsque vous utilisez le balisage, vous pouvez implémenter le contrôle d'accès basé sur les attributs (ABAC) en tant que stratégie d'autorisation, qui définit les autorisations en fonction des balises. Vous pouvez associer des balises aux entités IAM (utilisateurs ou rôles) et aux AWS ressources. Vous pouvez créer une politique ABAC unique ou un ensemble de politiques distinct pour vos principaux IAM. Vous pouvez concevoir ces politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de ressource. Pour plus d'informations, voir À quoi sert ABAC ? AWS dans le guide de l'utilisateur IAM.
Note
N'ajoutez pas d'informations personnelles identifiables (PII) ou d'autres informations confidentielles ou sensibles dans les balises. Les tags sont accessibles à de nombreuses personnes Services AWS, notamment AWS Billing. Pour en savoir plus sur les meilleures pratiques en matière de balisage, consultez la section Marquage de vos AWS ressources dans le. Références générales AWS
Correction
Pour ajouter des balises à un secret de Secrets Manager, voir Tag AWS Secrets Manager secrets dans le Guide de AWS Secrets Manager l'utilisateur.
