Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation de secrets externes AWS Secrets Manager gérés pour gérer les secrets tiers
Les secrets externes gérés sont un nouveau type de secret AWS Secrets Manager qui vous permet de stocker et de transférer automatiquement les informations d'identification des partenaires d'intégration. Cette fonctionnalité élimine le besoin de créer et de gérer des AWS Lambda fonctions personnalisées pour la rotation des secrets des partenaires d'intégration. Pour une liste complète de tous les partenaires intégrés, voir Partenaires [d'intégration](mes-partners.md).
Lorsque vous créez des applications AWS, vos charges de travail doivent souvent interagir avec des applications tierces via des informations d'identification sécurisées telles que des clés API, des OAuth jetons ou des paires d'informations d'identification. Auparavant, vous deviez développer des approches personnalisées pour sécuriser et gérer ces informations d'identification, notamment en créant des fonctions Lambda de rotation complexes propres à chaque application et nécessitant une maintenance continue.
Les secrets externes gérés fournissent une approche standardisée pour stocker les informations d'identification tierces dans un format prédéfini prescrit par chaque partenaire. Cette fonctionnalité inclut la rotation automatique activée (par défaut sur la console) lors de la création des secrets, une transparence totale et des contrôles utilisateur pour les flux de travail de gestion des secrets, ainsi que l'ensemble complet des fonctionnalités proposées par Secrets Manager, notamment la gestion précise des autorisations, l'observabilité, la gouvernance, la conformité, la reprise après sinistre et les contrôles de surveillance.
## Fonctions principales
Les secrets externes gérés offrent plusieurs fonctionnalités clés qui simplifient la gestion des informations d'identification tierces :
+ La **rotation gérée sans Lambda** élimine les frais liés à la création et à la gestion de fonctions de rotation personnalisées. Lorsque vous créez un compte externe, la rotation est automatiquement activée sans qu'aucune fonction Lambda ne soit déployée dans votre compte.
+ Les **formats de secrets prédéfinis** garantissent que les secrets peuvent être correctement associés au partenaire d'intégration et incluent les métadonnées nécessaires à la rotation. Chaque partenaire définit le format requis.
+ **L'écosystème de partenaires intégré** fournit un soutien à plusieurs partenaires par le biais d'un processus d'intégration standardisé. Les partenaires s'intègrent directement à Secrets Manager pour fournir des conseils programmatiques en matière de création de secrets et de gestion des capacités de rotation.
+ L'**auditabilité complète garantit** une transparence totale grâce à la AWS CloudTrail journalisation de toutes les activités de rotation, aux mises à jour des valeurs secrètes et aux opérations de gestion.
# Secrets externes gérés Partenaires
Secrets Manager s'intègre nativement à des applications tierces pour alterner les secrets détenus par le partenaire. Chaque partenaire définit les champs de métadonnées et de valeurs secrètes nécessaires à la rotation des secrets.
La valeur secrète contient des champs obligatoires pour se connecter à votre client tiers et qui sont stockés pendant l'[CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)appel. Les métadonnées de rotation contiennent les champs utilisés pour mettre à jour le secret pendant la rotation et utilisés dans l'[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)appel. Ces champs seront définis par le partenaire d'intégration pour permettre la gestion des flux de rotation.
Pour que la rotation fonctionne correctement, vous devez fournir à Secrets Manager des autorisations spécifiques pour gérer le cycle de vie des secrets. Pour plus d'informations, voir [Sécurité et autorisations](mes-security.md)
Les rubriques suivantes incluent une description de chacun des champs de métadonnées nécessaires à la rotation du secret ainsi qu'une description de chacun des champs requis pour la rotation du secret de Secrets Manager.
**Rubriques**
| Partenaire d'intégration | Type de secret |
| --- | --- |
| Salesforce | [SalesforceClientSecret](mes-partner-salesforce.md) |
| BigID | [Grand IDClient secret](mes-partner-BigId.md) |
| Snowflake | [SnowflakeKeyPairAuthentication](mes-partner-Snowflake.md) |
# Secret du client Salesforce
## Champs de valeurs secrets
Les champs suivants doivent figurer dans le secret du Gestionnaire de Secrets :
```
{
"consumerKey": "client ID",
"consumerSecret": "client secret",
"baseUri": "https://domain.my.salesforce.com",
"appId": "app ID",
"consumerId": "consumer ID"
}
```
consumerKey
La clé du consommateur, également connue sous le nom d'identifiant du client, est l'identifiant d'identification des informations d'identification OAuth 2.0. Vous pouvez récupérer la clé du consommateur directement dans les OAuth paramètres du gestionnaire d'applications client externe de Salesforce.
consumerSecret
Le secret du consommateur, également connu sous le nom de secret du client, est le mot de passe privé utilisé avec la clé du consommateur pour s'authentifier à l'aide du flux d'informations d'identification client OAuth 2.0. Vous pouvez récupérer le secret du consommateur directement dans les OAuth paramètres du gestionnaire d'applications client externe de Salesforce.
baseUri
L'URI de base est l'URL de base de votre organisation Salesforce utilisée pour interagir avec Salesforce APIs. Cela prend la forme de l'exemple suivant :`https://domainName.my.salesforce.com`.
appId
L'ID d'application est l'identifiant de votre application client externe Salesforce (ECA). Vous pouvez le récupérer en appelant le point de terminaison Salesforce OAuth Usage. Il doit commencer par `0x` et ne contenir que des caractères alphanumériques. [Ce champ fait référence au external\$1client\$1app\$1identifier dans le guide de rotation de Salesforce.](https://help.salesforce.com/s/articleView?id=xcloud.eca_stage_oauth_credentials.htm&type=5)
Identifiant du consommateur
L'identifiant du consommateur est l'identifiant de votre client client externe Salesforce (ECA). Vous pouvez le récupérer en appelant le point de terminaison Salesforce OAuth Credentials by App ID. Ce champ fait référence au consumer\$1id dans le guide de [rotation de Salesforce](https://help.salesforce.com/s/articleView?id=xcloud.eca_stage_oauth_credentials.htm&type=5).
## Champs de métadonnées secrets
Les champs de métadonnées suivants sont requis pour faire pivoter un secret détenu par Salesforce.
```
{
"apiVersion": "v65.0",
"adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:SalesforceClientSecret"
}
```
Version de l'API
La version de l'API Salesforce est la version de l'API de votre organisation Salesforce. La version doit être au moins la v65.0. Il doit être au format `vXX.X` où se `X` trouve un caractère numérique.
adminSecretArn
(Facultatif) L'ARN du secret d'administration est le nom de ressource Amazon (ARN) du secret qui contient les OAuth informations d'identification administratives à utiliser pour faire pivoter ce secret client Salesforce. Au minimum, le secret d'administration doit contenir une valeur ConsumerKey et une valeur ConsumerSecret dans la structure secrète. Ce champ est facultatif et s'il est omis, lors de la rotation, Secrets Manager utilisera les OAuth informations d'identification contenues dans ce secret pour s'authentifier auprès de Salesforce.
## Flux d'utilisation
Les clients qui stockent des secrets Salesforce AWS Secrets Manager ont la possibilité de faire alterner un secret avec les informations d'identification stockées dans le même secret ou d'utiliser les informations d'identification contenues dans le secret d'administration pour la rotation. Vous pouvez créer votre secret à l'aide de l'[CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)appel avec la valeur secrète contenant les champs mentionnés ci-dessus et le type de secret as SalesforceClientSecret. Les configurations de rotation peuvent être définies à l'aide d'un [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)appel. Cet appel nécessite la spécification des champs de métadonnées comme dans l'exemple ci-dessus. Si vous optez pour une rotation en utilisant des informations d'identification dans le même secret, vous pouvez ignorer le adminSecretArn champ. En outre, les clients doivent fournir un ARN de rôle dans l'[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)appel qui accorde au service les autorisations requises pour faire pivoter le secret. Pour un exemple de politique d'autorisations, voir [Sécurité et autorisations](mes-security.md).
Pour les clients qui choisissent de changer leurs secrets à l'aide d'un ensemble d'informations d'identification distinct (stockées dans un secret d'administration), veillez à créer le secret d'administration en AWS Secrets Manager suivant exactement les mêmes étapes que votre secret de consommateur. Vous devez fournir l'ARN de ce secret d'administration dans les métadonnées de rotation lors d'un [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)appel pour obtenir votre secret de consommateur.
La logique de rotation suit les directives fournies par Salesforce.
# Jeton d'actualisation Big ID
## Champs de valeurs secrets
Les champs suivants doivent figurer dans le secret du Gestionnaire de Secrets :
```
{
"hostname": "Host Name",
"refreshToken": "Refresh Token"
}
```
hostname
Il s'agit du nom d'hôte sur lequel votre instance BigID est hébergée. Vous devez saisir le nom de domaine complet de votre instance.
Jeton d'actualisation
Le jeton d'actualisation utilisateur JWT généré dans la console BigID via Administration → Gestion des accès → Sélectionner un utilisateur → Générer un jeton → Enregistrer
## Flux d'utilisation
Vous pouvez créer votre secret en utilisant l'[CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)appel avec la valeur secrète contenant les champs mentionnés ci-dessus et le type de IDClient secret Big Secret. Les configurations de rotation peuvent être définies à l'aide d'un [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)appel. Vous devez également fournir un ARN de rôle dans l'[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)appel qui accorde au service les autorisations requises pour faire pivoter le secret. Pour un exemple de politique d'autorisations, voir [Sécurité et autorisations](mes-security.md). Notez que le champ de métadonnées de rotation peut être laissé vide pour ce partenaire.
# Paire de clés Snowflake
## Champs de valeurs secrets
Les champs suivants doivent figurer dans le secret du Gestionnaire de Secrets :
```
{
"account": "Your Account Identifier",
"user": "Your user name",
"privateKey": "Your private Key",
"publicKey": "Your public Key",
"passphrase": "Your Passphrase"
}
```
user
Le nom d'utilisateur Snowflake associé à cette authentification par paire de clés. Cet utilisateur doit être configuré dans Snowflake pour accepter l'authentification par paire de clés, et la clé publique doit être attribuée au profil de cet utilisateur.
compte
L'identifiant de votre compte Snowflake utilisé pour établir la connexion. Cela peut être extrait de votre URL Snowflake (la partie avant .snowflakecomputing.com)
privateKey
La clé privée RSA au format PEM utilisée pour l'authentification. Les BEGIN/END marqueurs sont facultatifs.
Clé publique
L'équivalent de la clé publique au format PEM correspondant à la clé privée. Les BEGIN/END marqueurs sont facultatifs.
phrase secrète
(Facultatif) Ce champ fait référence à la phrase secrète utilisée pour déchiffrer la clé privée chiffrée.
## Champs de métadonnées secrets
Les champs de métadonnées de Snowflake sont les suivants :
```
{
"cryptographicAlgorithm": "Your Cryptographic algorithm",
"encryptPrivateKey": "True/False"
}
```
Algorithme cryptographique
(Facultatif) Cela fait référence à l'algorithme utilisé pour la génération de clés. Vous avez le choix entre 3 algorithmes :`RS256|RS384|RS512`. Ce champ est facultatif et l'algorithme par défaut choisi est RS256.
encryptPrivateKey
(Facultatif) Ce champ permet de choisir si vous souhaitez chiffrer votre clé privée. Il est défini sur false par défaut. Le mot de passe pour le chiffrement est généré de manière aléatoire.
## Flux d'utilisation
Vous pouvez créer votre secret à l'aide de l'[CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)appel avec la valeur secrète contenant les champs mentionnés ci-dessus et le type de secret as SnowflakeKeyPairAuthentication. Les configurations de rotation peuvent être définies à l'aide d'un [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)appel. Vous pouvez éventuellement fournir le ou les champs de métadonnées secrets en fonction de vos besoins. Vous devez également fournir un ARN de rôle dans l'[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)appel qui accorde au service les autorisations requises pour faire pivoter le secret. Pour un exemple de politique d'autorisations, voir [Sécurité et autorisations](mes-security.md). Notez que le champ de métadonnées de rotation peut être laissé vide pour ce partenaire.
# Sécurité et autorisations
Les secrets externes gérés ne vous obligent pas à partager les privilèges d'administrateur de vos comptes d'applications tierces avec. AWS Le processus de rotation utilise plutôt les informations d'identification et les métadonnées que vous fournissez pour effectuer des appels d'API autorisés à l'application tierce à des fins de mise à jour et de validation des informations d'identification.
Les secrets externes gérés respectent les mêmes normes de sécurité que les autres types de secrets Secrets Manager. Les valeurs secrètes sont chiffrées au repos à l'aide de vos clés KMS et en transit à l'aide du protocole TLS. L'accès aux secrets est contrôlé par le biais de politiques IAM et de politiques basées sur les ressources. Lorsque vous utilisez une clé gérée par le client pour chiffrer votre secret, vous devez mettre à jour la politique IAM du rôle de rotation et la politique de confiance CMK afin de fournir les autorisations requises pour garantir une rotation réussie.
Pour que la rotation fonctionne correctement, vous devez fournir à Secrets Manager des autorisations spécifiques pour gérer le cycle de vie des secrets. Ces autorisations peuvent être limitées à des secrets individuels et respecter le principe du moindre privilège. Le rôle de rotation que vous fournissez est validé lors de la configuration et utilisé exclusivement pour les opérations de rotation.
Vous pouvez restreindre l'accès IP à votre ressource externe en autorisant uniquement les [plages d'AWS adresses IP](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html) pour EC2 dans la région où existe votre secret. Cette liste de plages d'adresses IP peut changer. Vous devez donc actualiser régulièrement vos règles d'entrée.
AWS Secrets Manager propose également des solutions à touche unique pour créer la politique IAM avec les autorisations nécessaires pour gérer le secret lors de la création du secret via la console Secrets Manager. Les autorisations associées à ce rôle sont définies pour chaque partenaire d'intégration dans chaque région.
**Exemple de politique d'autorisation :**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowRotationAccess",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue",
"secretsmanager:UpdateSecretVersionStage"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"secretsmanager:resource/Type": "SalesforceClientSecret"
}
}
},
{
"Sid": "AllowPasswordGenerationAccess",
"Action": [
"secretsmanager:GetRandomPassword"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
[Remarque : La liste des types de secrets disponibles pour SecretsManager:Resource/type se trouve dans Integration Partners.](mes-partners.md)
**Exemple de politique de confiance :**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SecretsManagerPrincipalAccess",
"Effect": "Allow",
"Principal": {
"Service": "secretsmanager.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:*"
}
}
}
]
}
```
# Surveiller et résoudre les problèmes liés aux secrets externes gérés
Les secrets externes gérés fournissent des fonctionnalités de surveillance complètes par le biais de AWS CloudTrail journaux et de CloudWatch métriques Amazon. Toutes les activités de rotation sont enregistrées avec des informations détaillées sur le succès, l'échec et les éventuelles erreurs rencontrées au cours du processus.
Les problèmes courants liés au flux de travail de rotation incluent une configuration incorrecte des autorisations de rôle ou de la valeur secrète. Si ces champs ne sont pas définis, le format spécifié par les partenaires d'intégration peut entraîner des échecs de rotation, car le service ne pourra pas accéder au secret ou se connecter au client du partenaire d'intégration pour mettre à jour le secret. Les autres problèmes peuvent être des problèmes de connectivité réseau, l'expiration des informations d'identification ou la disponibilité des services des partenaires. Le service de rotation géré inclut la logique des nouvelles tentatives et la gestion des erreurs pour optimiser la fiabilité
Vous pouvez surveiller les calendriers de rotation, les taux de réussite et les indicateurs de performance via Amazon CloudWatch. Vous pouvez configurer des alarmes personnalisées via [Event Bridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html) pour vous avertir en cas d'échec de rotation ou d'autres problèmes nécessitant une attention particulière.
# Migration de secrets existants
Vous avez la possibilité de migrer les secrets de vos partenaires existants vers des secrets externes gérés. Cela peut se faire par un [UpdateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecret.html)appel. Vous devez mettre à jour la valeur secrète et les métadonnées comme indiqué dans le guide. Si vous avez déjà configuré une logique de rotation personnalisée pour ces secrets, vous devez d'abord annuler la rotation à l'aide d'un [CancelRotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CancelRotateSecret.html)appel.
# Limites et considérations
Les secrets externes gérés ne prennent pas en charge les secrets éphémères dont la durée de vie est inférieure à quatre heures. Les secrets associés aux certificats d'infrastructure à clé publique ne sont pas non plus pris en charge.
Les secrets externes gérés ne sont pris en charge que pour les partenaires qui ont intégré. AWS Secrets Manager Pour une liste complète, consultez la section [Partenaires d'intégration](mes-partners.md). Votre partenaire ne figure pas sur la liste ? [Dites-leur d'embarquer pour AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/mes-onboarding/secrets-manager-mes-onboarding.html)
Si vous mettez à jour ou faites pivoter des valeurs secrètes directement depuis le service client partenaire en dehors du moteur de rotation de Secrets Manager, la synchronisation entre les systèmes peut être interrompue. Secrets Manager fournit des avertissements de console et une prévention programmatique pour les mises à jour manuelles des valeurs secrètes, mais vous pouvez toujours modifier les valeurs directement dans votre application tierce. Pour rétablir la synchronisation après les out-of-band mises à jour, vous devez mettre à jour la valeur du secret afin qu'elle reflète le secret correct, puis invoquer l'[RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)API pour garantir le succès des rotations.