AWS Secrets Manager : tout ce que vous devez savoir [2023]

AWS Secrets Manager vous permet de stocker en toute sécurité toutes vos informations d'identification, données, mots de passe et autres secrets.

Cyber-attaques augmentent rapidement à travers le monde, visant à voler des informations confidentielles et de l'argent et laissant les organisations dévastées.

C'est pourquoi il est nécessaire d'utiliser des services puissants comme Secrets Manager qui peuvent protéger vos données.

Dans cet article, je vais discuter d'AWS Secrets Manager et de ses avantages pour vous.

Let’s start!

What Is AWS Secrets Manager?

AWS Secrets Manager est un outil qui aide les utilisateurs à gérer, faire pivoter et récupérer leurs secrets, comme les mots de passe, les clés API, les informations d'identification de la base de données et de l'application, etc., tout au long du cycle de vie de chacun.

Un secret ici peut être une information confidentielle et précieuse sur votre organisation que vous souhaitez stocker en toute sécurité. Il peut s'agir d'informations d'identification telles qu'un mot de passe et un nom d'utilisateur, un jeton OAuth, des informations d'identification AWS, des clés SSK, des clés de chiffrement, des certificats et des clés privées, etc.

L'objectif principal d'AWS Secrets Manager est de gérer et de protéger vos données utilisées pour accéder aux ressources, services, applications et systèmes informatiques. Il stocke et gère les secrets et les données dans un endroit centralisé, ce qui permet aux utilisateurs légitimes d'y accéder plus facilement sans nécessiter de code complexe.

AWS Secrets Manager vous permet de faire pivoter les secrets entre divers services AWS tels que Redshift, RDS et BD de documents. Cela permet à toutes les clés et informations d'identification de la base de données d'être mises à jour en permanence sur ces services. De plus, vous pouvez effectuer une rotation des secrets à la demande ou selon un calendrier à l'aide de la console intégrée de l'outil, du kit SDK AWS ou de l'AWS CLI.

De plus, AWS Secrets Manager offre un meilleur contrôle des données et un cryptage fort pour la protection des données. Il vous permet également de surveiller vos informations protégées et de les auditer à l'aide de diverses intégrations disponibles.

Ses plus grands utilisateurs sont les grandes entreprises en ce qui concerne la taille de l'entreprise et les éditeurs de logiciels en ce qui concerne le type d'industrie.

AWS Secrets Manager: Features

# 1. Stockage et gestion secrets

Non seulement le stockage, mais vous pouvez également gérer facilement vos secrets avec Secrets Manager. Pour gérer les données sur la plateforme, vous pouvez effectuer différentes actions avec vos données :

• Création d'un secret et d'une base de données
• Modification d'un secret
• Trouver un secret
• Suppression d'un secret dont vous n'avez plus besoin
• Restaurer un secret que vous avez perdu ou supprimé
• Réplication d'un secret vers une autre région AWS
• Promotion d'un secret répliqué en un secret autonome donné dans AWS Secrets Manager

Vous pouvez stocker vos informations d'identification sur la plateforme après avoir créé votre compte dans Amazon Aurora, Amazon RDS, Amazon DocumentDB ou Amazon Redshift. Vous pouvez le faire à l'aide de la console Secrets Manager, du kit SDK AWS ou de l'AWS CLI.  

# 2. Forte sécurité

AWS Secrets Manager utilise un chiffrement fort pour protéger tous vos secrets des utilisateurs non autorisés. Il chiffre vos secrets à l'aide des clés AWS Key Management Service (KMS).

Secrets Manager utilise AWS Identity and Access Management (IAM) pour permettre aux utilisateurs d'accéder à leurs secrets en toute sécurité. Il offre des contrôles d'accès et une authentification avancés.

• L'authentification est utilisée pour vérifier l'identité de l'utilisateur faisant la demande. Et l'identification se fait par le biais d'un processus de connexion nécessitant authentification multi-facteurs (MFA), clés d'accès et mots de passe.
• Le contrôle d'accès est utilisé pour garantir que les utilisateurs approuvés ne peuvent effectuer que certaines opérations sur les secrets.

En dehors de cela, Secrets Manager utilise des politiques définissant quels utilisateurs peuvent accéder à quelles ressources et effectuer quelles actions sur ces secrets ou ressources. Il vous permet d'utiliser AWS IAM Roles Anywhere et d'obtenir des informations d'identification temporaires pour la sécurité dans IAM pour les serveurs, les applications, les conteneurs et les autres charges de travail exécutées à partir d'AWS.

De plus, vous pouvez activer les mêmes rôles et politiques IAM pour vos charges de travail que vous avez créés pour les applications AWS afin d'accéder à vos ressources dans les appareils AWS et sur site (comme les serveurs d'applications).

# 3. Rotation secrète

AWS Secrets Manager vous permet d'effectuer une rotation des secrets selon un calendrier ou à la demande sans perturber ni redéployer vos applications actives.

Ici, la rotation des secrets fait référence au processus de mise à jour périodique des secrets d'une organisation. Ainsi, lorsque vous faites pivoter un secret donné, vous devez mettre à jour les données ou les informations d'identification dans le secret ainsi que le service ou la base de données. De plus, il vous permet d'automatiser la rotation des secrets et de gagner du temps en configurant et en automatisant la rotation des secrets via la console et l'AWS CLI pour gagner du temps.

Pour mettre à jour un secret, AWS Secret Manager exploite la fonction AWS Lambda et l'appelle en fonction du programme d'installation. Pour cela, vous devrez mettre en place un calendrier spécifique pour permettre la rotation après une certaine période, comme 90 jours ou 30 jours. Cela peut également être fait en créant une expression cron.

De plus, le gestionnaire de secrets peut étiqueter la version du secret pendant la rotation en utilisant des étiquettes intermédiaires. Il peut appeler une fonction plusieurs fois pendant la rotation en donnant différents paramètres.

Voici comment vous pouvez faire pivoter un secret :

• Créez la nouvelle version du secret. Il peut avoir un nouveau nom d'utilisateur et un nouveau mot de passe ainsi que des données plus secrètes.
• Modifiez les informations d'identification existantes dans le service ou la base de données. Cela correspondra aux nouvelles informations d'identification dans la nouvelle version secrète. En fonction de la stratégie de rotation que vous mettez en œuvre, un nouvel utilisateur sera créé avec les mêmes autorisations d'accès que celles de l'utilisateur existant.

• Testez la version secrète nouvellement créée en lui permettant d'accéder au service ou à la base de données. En fonction du type d'accès dont vos applications ont besoin ; vous pouvez inclure un accès en lecture et en écriture.
• Effectuez la rotation en déplaçant la nouvelle version de l'ancienne version vers la nouvelle version secrète. Conservez l'ancienne version et ajoutez-la à la version précédente pour éviter de perdre complètement le secret.

# 4. Surveillance secrète

Étant donné que les violations et les inefficacités peuvent survenir à tout moment, il est important de garder un œil sur vos secrets et de prendre les mesures nécessaires lorsqu'il est encore temps. AWS Secrets Manager vous permet de surveiller vos données à l'aide d'outils de surveillance et de signaler immédiatement en cas de problème.

Vous pourrez utiliser les journaux pour enquêter sur toute modification ou utilisation inattendue. Si trouvé, vous pouvez également annuler les modifications indésirables et récupérer la version précédente. De plus, vous pouvez configurer des vérifications automatisées pour détecter toute tentative de suppression de secret ou d'utilisation inappropriée de secret.

Voici ce que vous obtiendrez avec la surveillance secrète :

• Journalisez les événements à l'aide d'AWS CloudTrail : AWS CloudTrail peut enregistrer les appels d'API en tant qu'événements à partir de la console pour la rotation et la suppression des secrets. Il vous montrera les événements enregistrés des 90 derniers jours. Vous pouvez également configurer CloudTrail pour fournir des fichiers journaux directement au compartiment Amazon S3 à partir de plusieurs régions et comptes AWS.
• Surveiller à l'aide de CloudWatch : Avec CloudWatch, vous pouvez facilement surveiller vos secrets en le laissant collecter et traiter les données brutes en métriques lisibles en temps réel. Les données seront enregistrées pendant 15 mois pour évaluer les performances de votre service ou de votre application.
• Associez les événements à l'aide d'EventBridge : Avec EventsBridge, il est possible de faire correspondre les événements des fichiers journaux AWS CloudTrail. Pour cela, configurez les riles à la recherche de ces événements et envoyez un nouvel événement pour agir sur une cible.
• Surveillez les secrets programmés pour la suppression : En combinant Amazon CloudWatch Logs, Simple Notification Service (SNS) et CloudTrail, vous pouvez configurer des alarmes à notifier en cas de tentative non autorisée de suppression d'un secret.

À la réception d'une alarme, vous aurez le temps de réfléchir si vous voulez vraiment la supprimer ou arrêter la suppression. Vous pouvez également autoriser un utilisateur à utiliser un nouveau secret et lui fournir des autorisations d'accès.

# 5. Integrations

AWS Secrets Manager s'intègre à de nombreux autres outils Amazon et AWS. La liste comprend Alexa for Business, AWS App2Container, App Runner, Amazon AppFlow, AWS AppConfig, Amazon Athena, Amazon DocumentDB, AWS DataSync, AWS CodeBuild, Amazon ElasticCache, Amazon DME, AWS Elemental Live, Amazon QuickSight, Amazon Redshift, AWS Migration Hub, Amazon RDS, etc.

Why Use AWS Secrets Manager

Posture de sécurité améliorée

Secrets Manager vous permet d'améliorer la posture de sécurité de votre organisation puisque vous n'avez pas besoin d'informations d'identification codées en dur dans le code source de votre application. En stockant vos informations d'identification dans le gestionnaire de secrets, vous pouvez éviter les compromis liés à la sécurité par une personne pouvant accéder à l'application ou à ses composants.

Disaster Recovery

Un sinistre peut frapper à votre porte à tout moment, comme une cyber-effraction. Cela vous fera perdre vos informations cruciales, mots de passe, ainsi que d'autres informations d'identification et données. Ou, vous pourriez perdre vos données en raison d'une suppression accidentelle.

À l'aide de l'outil, vous pouvez remplacer vos informations d'identification codées en dur par un appel dans le runtime à AWS Secrets Manager afin de récupérer dynamiquement vos informations d'identification en cas de besoin.

Risques réduits

Secrets Manager vous permet de configurer un calendrier de rotation afin que les secrets puissent tourner automatiquement le moment venu. De cette façon, vous pouvez remplacer vos secrets à long terme par des secrets à court terme, ce qui contribue à réduire les risques de compromission de la sécurité.

De plus, la rotation des informations d'identification ne nécessite pas de mises à jour d'application ni de modification des clients d'application puisque vous ne stockerez pas vos informations d'identification avec l'application. 

Répondre aux exigences de conformité

Compte tenu des risques croissants pour la sécurité et la confidentialité, les organismes de réglementation tels que GDPR et HIPAA exigent des organisations qu'elles adhèrent à leur norme de conformité pour s'assurer qu'elles traitent les données des clients et des entreprises en toute sécurité. Par conséquent, utilisez uniquement une application ou un service sûr et conforme aux réglementations applicables.

AWS Secrets Manager, vous pouvez surveiller vos secrets pour détecter toute vulnérabilité ou risque de sécurité pouvant compromettre vos données et prendre des mesures à l'avance. Cela protège essentiellement les informations de votre entreprise et de vos clients, ce qui est extrêmement crucial pour maintenir la conformité. Vous pouvez également mieux vous préparer aux audits en documentant tout.

De plus, vous pouvez tirer parti d'AWS Configs pour évaluer vos secrets et leur conformité avec les politiques internes, les réglementations et les directives du secteur de votre organisation. Il vous permet de définir les exigences de conformité et les contrôles internes pour les secrets et d'identifier les secrets qui ne sont pas conformes.

De meilleurs contrôles

Vous obtiendrez un meilleur contrôle de vos secrets, systèmes et autres données grâce à des politiques et des contrôles d'accès précis. AWS IAM s'assurera que la bonne personne dispose du bon niveau d'autorisations d'accès aux bonnes ressources. Les administrateurs peuvent créer ou supprimer des comptes, autoriser ou restreindre l'accès aux utilisateurs, ajouter ou supprimer des membres et effectuer de nombreuses actions en fonction des besoins et des situations.

AWS Secrets Manager: How to Setup and Use it

Voici comment configurer et utiliser AWS Secrets Manager :

• Configurez votre compte AWS en saisissant les détails requis.
• Connectez-vous à votre compte AWS
• Accédez à la console AWS Secrets Manager
• Localisez l'option "Stocker un nouveau secret" et cliquez dessus pour créer et stocker votre secret.

Comment créer et stocker un nouveau secret

Pour créer un secret dans Secrets Manager, vous avez besoin de l'autorisation des stratégies gérées SecretsManagerReadWrite. Lorsqu'un secret est créé, Secret Manager génère une entrée de journal CloudTrail.

Suivez les étapes ci-dessous pour stocker vos jetons d'accès, clés d'API et informations d'identification dans AWS Secrets Manager :

1. Ouvrez l'AWS Console du gestionnaire de secrets

2. Cliquez sur « Stocker un nouveau secret ».

Vous trouverez la page "Choisir le type de secret". Ensuite, effectuez les étapes suivantes :

• Sélectionnez "Autre type de secret" pour le type de secret que vous souhaitez créer.
• Vous verrez des paires clé/valeur. Entrez un secret dans les paires clé/valeur en JSON. Ou, sélectionnez l'onglet Texte en clair et entrez votre secret dans un format de votre choix. Il est possible de stocker des secrets jusqu'à 65536 octets.
• Sélectionnez la clé AWS KMS utilisée par Secret Manager pour chiffrer la valeur secrète. Surtout, vous pouvez aller pour aws/secretsmanager pour utiliser la clé gérée. Cela n'entraîne aucun coût.
• Pour accéder à un secret à partir d'un autre compte AWS ou utiliser votre clé KMS pour activer la rotation ou mettre en œuvre une politique sur cette clé, sélectionnez « Ajouter une nouvelle clé » ou sélectionnez une clé gérée par le client dans la liste donnée. Cependant, une clé gérée par le client est payante.
• Sélectionnez « Suivant »

3. Depuis la page « Secret de configuration »,

• Entrez un nom secret et sa description. Le nom doit contenir entre 1 et 512 caractères Unicode.
• Vous pouvez ajouter des balises à un secret à partir de la section Balises. Vous pouvez également inclure une stratégie de ressources en choisissant "Modifier les autorisations".
• En outre, il est également possible de répliquer un secret dans une autre région AWS en choisissant « Répliquer le secret ». Ces étapes sont facultatives.  
• Choisissez "Suivant"

4. Si vous le souhaitez, vous pouvez activer la rotation automatique depuis la page « Rotation de la configuration ». Cette étape est également facultative. Choisissez ensuite.

5. Vérifiez les détails du secret à partir de la page « Review » et sélectionnez « store ». Et vous avez terminé; le gestionnaire de secrets reviendra à la liste des secrets. Vous devez y voir le secret nouvellement ajouté ; sinon, actualisez.

Outre la console, vous pouvez également ajouter un secret via AWS SDK et AWS CLI.

AWS Secrets Manager vs. AWS Parameter Store

AWS Parameter Store est un outil de gestion d'application par AWS Systems Manager (SSM) qui permet aux utilisateurs de créer un paramètre clé-valeur, qui peut enregistrer les configurations, les informations d'identification, les clés de produit et les variables d'environnement personnalisées d'une application.

D'autre part, AWS Secrets Manager est un service qui vous permet de créer, stocker, gérer, récupérer et faire pivoter les informations d'identification, les clés, les jetons d'API, etc.

Ces deux services ont des interfaces similaires où il est facile de déclarer vos paires clé-valeur pour les secrets et les paramètres. Cependant, ils le font pour les motifs suivants :

Conclusion

Que vous apparteniez à une petite, moyenne ou grande entreprise, vous pouvez utiliser AWS Secrets Manager pour créer et stocker vos secrets. Il offre une sécurité, une confidentialité, des contrôles d'accès, des fonctionnalités et des capacités améliorés pour protéger vos secrets contre tout accès non autorisé.

Vous pouvez également explorer comment effectuer Analyse de sécurité AWS et le suivi des configurations.