AWS Secrets Manager – une solution sécurisée pour protéger vos données / blogs / perficient

Objectif

Si vous recherchez une solution pour stocker en toute sécurité vos secrets comme les informations d’identification DB, les clés d’API, les jetons, les mots de passe, etc., AWS Secret Manager est le service qui vient à votre sauvetage. Garder les secrets en tant que texte brut dans votre code est très risqué. Par conséquent, le stockage des secrets dans AWS Secret Manager vous aide avec ce qui suit.

AWS Secret Manager est un service entièrement géré qui peut stocker et gérer des informations sensibles. Il simplifie la manipulation secrète en permettant l’auto-rotation des secrets pour réduire le risque de compromis, surveiller les secrets pour la conformité et réduire l’effort manuel de mise à jour des informations d’identification dans l’application après rotation.

Caractéristiques essentielles de AWS Secret Manager

• Sécurité: Les secrets sont chiffrés à l’aide de clés de chiffrement que nous pouvons gérer via AWS KMS.
• Calendrier de rotation: Activer la rotation des informations d’identification grâce à la planification pour remplacer à long terme par des informations à court terme.
• Contrôle d’authentification et d’accès: En utilisant AWS IAM, nous pouvons contrôler l’accès aux secrets, contrôler les fonctions de rotation lambda et les autorisations pour reproduire les secrets.
• Surveiller les secrets pour la conformité: Les règles de configuration AWS peuvent être utilisées pour vérifier si les secrets s’alignent avec les normes de sécurité interne et de conformité, telles que HIPAA, PCI, ISO, AICPA SOC, FedRamp, DoD, IRAP et OSPAR.
• Audit et surveillance: Nous pouvons utiliser d’autres services AWS, tels que Cloud Trail pour l’audit et la surveillance cloud pour la surveillance.
• Roll à travers le versioning: Si nécessaire, le secret peut être retourné à la version précédente en déplaçant les étiquettes attachées à ce secret.
• Payer au fur et à mesure: Facturé en fonction du nombre de secrets gérés par le directeur secret.
• Intégration avec d’autres services AWS: L’intégration avec d’autres services AWS, tels que EC2, Lambda, RDS, etc., élimine la nécessité de coder en dure les secrets de code.

Prix ​​du manager secret AWS

Au moment de la publication de ce document, AWS Secret Manager Pricing est ci-dessous. Cela pourrait être révisé à l’avenir.

Créer un secret

Approfondissons le processus de création de secrets.

1. Connectez-vous à la console de gestion secrète AWS et sélectionnez l’option «Stockez une nouvelle secrète»: https://console.aws.amazon.com/secretsmanager/.
   
2. Sur Choisissez le type secret page,
   1. Pour Type secretsélectionnez le type de secret de base de données que vous souhaitez stocker:
   2. Pour Informations d’identificationEntrez les informations d’identification de la base de données qui a été codée en dur. 
   3. Pour la clé de chiffrementchoisir AWS / Secrets Manager. Ce service de clé de cryptage est gratuit.
   4. Pour Champ de base de donnéeschoisissez votre base de données.
   5. Puis cliquez Suivant.
3. Sur Configurer le secret page,
   1. Fournir un descriptif nom secret et description.
   2. Dans le Autorisation de ressource champ, choisissez Modifier les autorisations. Fournir la politique qui permet RoletoreTrieves Secrécatrime et sauver.
   3. Ensuite, cliquez Suivant.
4. Sur Configurer la rotation page,
   1. Sélectionnez le calendrier pour lequel vous souhaitez que cela soit tourné.
   2. Faire un clic Suivant.
5. Sur Revoir page, passez en revue les détails, puis Magasin.

Sortir

Le secret est créé comme ci-dessous.

Nous pouvons mettre à jour le code pour récupérer le secret de Secrets Manager. Pour cela, nous devons supprimer les informations d’identification codées en dur du code. Sur la base de la langue du code, il est nécessaire d’ajouter un appel à la fonction ou à la méthode au code pour appeler le Secret Manager pour le secret stocké ici. Selon nos exigences, nous pouvons modifier la stratégie de rotation, le versioning, la surveillance, etc.

Stratégie de rotation secrète

• Utilisateur unique – Il met à jour les informations d’identification pour un utilisateur dans un secret. Pendant la rotation secrète, les connexions ouvertes ne seront pas abandonnées. En rotation, les connexions ouvertes peuvent éprouver un faible risque d’appels de déni de base de données qui utilisent les secrets nouvellement tournés. Cela peut être atténué par des stratégies de réessayer. Une fois la rotation terminée, tous les nouveaux appels utiliseront les informations d’identification tournées.
  • Cas d’utilisation – Cette stratégie peut être utilisée pour les utilisateurs ponctuels ou interactifs.

• Utilisateurs alternés – Cette méthode met à jour les valeurs secrètes de deux utilisateurs dans un seul secret. Nous créons la première utilisation. Ensuite, nous créons un deuxième utilisateur cloné en utilisant la fonction de rotation pendant la première rotation. Chaque fois que le secret tourne, la fonction de rotation alterne entre le mot de passe de l’utilisateur et celui qu’il met à jour. Même pendant la rotation, l’application obtient un ensemble valide d’identification.
  • Utilise le cas – C’est bon pour les systèmes qui nécessitent une grande disponibilité.

Version de secrets

Un secret se compose de la valeur secrète et des métadonnées. Pour stocker plusieurs valeurs dans un secret, nous pouvons utiliser JSON avec des paires de valeurs clés. Un secret a une version qui contient des copies des valeurs secrètes chiffrées. AWS utilise trois étiquettes, comme:

• Awscurrent – pour stocker la valeur secrète actuelle.
• Awsprevious – pour tenir la version précédente.
• AWPENDANT – Pour maintenir la valeur en attente pendant la rotation.

L’étiquetage personnalisé des versions est également possible. AWS ne peut jamais supprimer les versions étiquetées des secrets, mais les versions non marquées sont considérées comme obsolètes et seront supprimées à tout moment.

Surveillance des secrets dans AWS Secret Manager

Les secrets stockés dans AWS Secret Manager peuvent être surveillés par les services fournis par AWS comme ci-dessous.

• Utilisation de Cloud Trail – Cela stocke toutes les appels de l’API au Secret Manager en tant qu’événements, y compris la rotation secrète et la suppression de la version.
• Surveillance à l’aide de CloudWatch – Le nombre de secrets dans notre compte peut être géré, les secrets marqués pour la suppression, les mesures de surveillance, etc. Nous pouvons également définir une alarme pour les modifications métriques.

Conclusion

AWS Secrets Manager propose une solution sécurisée, automatisée et évolutive pour gérer les données sensibles et les informations d’identification. Il réduit le risque d’exposition secrète et aide à améliorer la sécurité des applications avec une intervention manuelle minimale. L’adoption des meilleures pratiques concernant la direction secrète peut garantir la conformité et minimiser les vulnérabilités dans vos applications.