Sécurité et autorisations - AWS Secrets Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Sécurité et autorisations

Les secrets externes gérés ne vous obligent pas à partager les privilèges d'administrateur de vos comptes d'applications tierces avec. AWS Le processus de rotation utilise plutôt les informations d'identification et les métadonnées que vous fournissez pour effectuer des appels d'API autorisés à l'application tierce à des fins de mise à jour et de validation des informations d'identification.

Les secrets externes gérés respectent les mêmes normes de sécurité que les autres types de secrets de Secrets Manager. Les valeurs secrètes sont chiffrées au repos à l'aide de vos clés KMS et en transit à l'aide du protocole TLS. L'accès aux secrets est contrôlé par le biais de politiques IAM et de politiques basées sur les ressources. Lorsque vous utilisez une clé gérée par le client pour chiffrer votre secret, vous devez mettre à jour la politique IAM du rôle de rotation et la politique de confiance CMK afin de fournir les autorisations requises pour garantir une rotation réussie.

Pour que la rotation fonctionne correctement, vous devez fournir à Secrets Manager des autorisations spécifiques pour gérer le cycle de vie des secrets. Ces autorisations peuvent être limitées à des secrets individuels et respecter le principe du moindre privilège. Le rôle de rotation que vous fournissez est validé lors de la configuration et utilisé exclusivement pour les opérations de rotation.

AWS Secrets Manager propose également des solutions à touche unique pour créer la politique IAM avec les autorisations nécessaires pour gérer le secret lors de la création du secret via la console Secrets Manager. Les autorisations associées à ce rôle sont définies pour chaque partenaire d'intégration dans chaque région.

Exemple de politique d'autorisation :

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowRotationAccess",
      "Action": [
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetSecretValue",
        "secretsmanager:PutSecretValue",
        "secretsmanager:UpdateSecretVersionStage"
      ],
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "secretsmanager:resource/Type": "SalesforceClientSecret"
        }
      }
    },
    {
      "Sid": "AllowPasswordGenerationAccess",
      "Action": [
        "secretsmanager:GetRandomPassword"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Remarque : La liste des types de secrets disponibles pour SecretsManager:Resource/type se trouve dans Integration Partners.

Exemple de politique de confiance :

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "SecretsManagerPrincipalAccess",
      "Effect": "Allow",
      "Principal": {
        "Service": "secretsmanager.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "111122223333"
        },
        "ArnLike": {
          "aws:SourceArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:*"
        }
      }
    }
  ]
}