Comment fonctionne AWS Secrets Manager ?

AWS Secrets Manager stocke, chiffre et alterne automatiquement les informations d'identification sensibles telles que les mots de passe de base de données, les clés API et les jetons. Il élimine le besoin de coder en dur les secrets dans le code de votre application en fournissant un accès sécurisé, basé sur l'API, aux informations d'identification au moment de l'exécution.

Comment Secrets Manager stocke-t-il et chiffre-t-il les secrets ?

Chaque secret stocké dans Secrets Manager est chiffré au repos à l'aide des clés de chiffrement AWS KMS (Key Management Service). Lorsque vous créez un secret, vous fournissez la valeur sensible (un mot de passe, une chaîne de connexion ou un blob JSON) et Secrets Manager le chiffre avant de le stocker. Vous pouvez utiliser la clé gérée par AWS par défaut ou spécifier votre propre clé KMS gérée par le client pour un contrôle supplémentaire.

L'accès est contrôlé via des stratégies IAM : seuls les utilisateurs, rôles et applications autorisés peuvent récupérer des secrets. Chaque tentative d'accès est enregistrée dans AWS CloudTrail, créant ainsi une piste d'audit complète.

Comment fonctionne la rotation automatique des secrets ?

Secrets Manager peut effectuer automatiquement une rotation des informations d'identification selon un calendrier que vous définissez, sans nécessiter de temps d'arrêt de l'application. La rotation utilise une fonction Lambda qui génère une nouvelle information d'identification, la met à jour à la fois dans Secrets Manager et dans le service cible (comme une base de données RDS) et vérifie que la nouvelle information d'identification fonctionne avant de retirer l'ancienne.

La prise en charge intégrée de la rotation est disponible pour Amazon RDS, Amazon Redshift et Amazon DocumentDB. Pour d'autres services, vous pouvez écrire des fonctions de rotation Lambda personnalisées.

Comment les applications récupèrent-elles les secrets ?

Les applications appellent l'API Secrets Manager au moment de l'exécution pour récupérer la valeur secrète actuelle, plutôt que de lire les informations d'identification à partir des fichiers de configuration ou des variables d'environnement. Le flux typique est le suivant :

1. L'application appelle l'API GetSecretValue avec le nom du secret
2. Secrets Manager vérifie les autorisations IAM
3. Si autorisé, la valeur secrète déchiffrée est renvoyée
4. L'application utilise les informations d'identification pour se connecter au service cible

Des SDK sont disponibles pour Python, Java, Node.js, Go, .NET et d'autres langages. Les bibliothèques de mise en cache réduisent les appels d'API et la latence pour les secrets fréquemment consultés.

Combien coûte Secrets Manager ?

Le prix est basé sur le nombre de secrets stockés (0,40 $/secret/mois) et d'appels d'API (0,05 $ pour 10 000 appels). Il n'y a aucun frais pour les secrets créés et supprimés au cours de la même journée, ce qui est utile pendant le développement et les tests.

Pour les organisations gérant plusieurs comptes et services AWS, les services de sécurité informatique peuvent concevoir et mettre en œuvre une stratégie de gestion des secrets qui comprend des politiques de rotation, une gouvernance des accès et une surveillance continue de l'utilisation des informations d'identification.