Création d'un secret AWS Secrets Manager de base de données - AWS Secrets Manager
AWS CLIAWS SDK

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un secret AWS Secrets Manager de base de données

Après avoir créé un utilisateur dans AmazonRDS, Amazon Aurora, Amazon Redshift ou Amazon DocumentDB, vous pouvez enregistrer ses informations d'identification dans Secrets Manager en suivant ces étapes. Lorsque vous utilisez le AWS CLI ou l'un des SDKs pour stocker le secret, vous devez le fournir dans la bonne JSON structure. Lorsque vous utilisez la console pour stocker un secret de base de données, Secrets Manager le crée automatiquement dans la JSON structure appropriée.

Astuce

Pour les informations d'identification d'administrateur Amazon RDS et Amazon Redshift, nous vous recommandons d'utiliser des secrets gérés. Vous créez le secret géré via le service de gestion, puis vous pouvez utiliser la rotation gérée.

Lorsque vous stockez les informations d'identification de base de données pour une base de données source répliquée vers d'autres régions, le secret contient des informations de connexion pour la base de données source. Si vous répliquez ensuite le secret, les réplicas sont des copies du secret source et contiennent les mêmes informations de connexion. Vous pouvez ajouter des paires clé-valeur supplémentaires au secret pour obtenir des informations de connexion régionale.

Pour créer un secret, vous devez disposer des autorisations accordées par le SecretsManagerReadWriteAWS politiques gérées.

Secrets Manager génère une entrée de CloudTrail journal lorsque vous créez un secret. Pour plus d’informations, consultez Enregistrez AWS Secrets Manager les événements avec AWS CloudTrail.

Pour créer des secrets (console)

  1. Ouvrez la console Secrets Manager à l'adresse https://console.aws.amazon.com/secretsmanager/.

  2. Choisissez Store a new secret (Stocker un nouveau secret).

  3. Sur la page Choose secret type (Choisir un type de secret), procédez comme suit :

    1. Pour Secret type (Type de secret), choisissez le type d'informations d'identification de base de données à stocker :

      • RDSBase de données Amazon (inclut Aurora)

      • Base de données Amazon DocumentDB

      • Entrepôt de données Amazon Redshift

    2. Pour Credentials (Informations d'identification), saisissez les informations d'identification de la base de données.

    3. Pour la clé de chiffrement, choisissez celle AWS KMS key que Secrets Manager utilise pour chiffrer la valeur secrète. Pour plus d’informations, consultez Chiffrement et déchiffrement de secret.

      • Dans la plupart des cas, choisissez aws/secretsmanager afin d'utiliser la Clé gérée par AWS pour Secrets Manager. L'utilisation de cette clé n'entraîne aucun coût.

      • Si vous devez accéder au secret par un tiers Compte AWS, ou si vous souhaitez utiliser votre propre KMS clé pour pouvoir la faire pivoter ou lui appliquer une politique clé, choisissez une clé gérée par le client dans la liste ou choisissez Ajouter une nouvelle clé pour en créer une. Pour plus d'informations sur les coûts d'utilisation d'une clé gérée par le client, consultez Tarification.

        Vous devez disposer de Autorisations pour la KMS clé. Pour plus d'informations sur l'accès intercompte, consultez Accédez aux AWS Secrets Manager secrets depuis un autre compte.

    4. Pour Database (Base de données), choisissez votre base de données.

    5. Choisissez Suivant.

  4. Sur la page Configure secret (Configurer le secret), procédez comme suit :

    1. Saisissez un Secret name (Nom de secret) descriptif et une Description. Les noms secrets peuvent contenir de 1 à 512 caractères alphanumériques et /_+ =.@-.

    2. (Facultatif) Dans la section Tags (Balises), vous pouvez ajouter une ou plusieurs balises à votre secret. Pour les stratégies de balisage, consultez Étiqueter les secrets AWS Secrets Manager. Ne stockez pas les informations sensibles dans des balises car elles ne sont pas chiffrées.

    3. (Facultatif) Dans Resource permissions (Permission de la ressource), pour ajouter une stratégie de ressources à votre secret, choisissez Edit permissions (Modification des autorisations). Pour plus d’informations, consultez Attacher une stratégie d'autorisation à un secret AWS Secrets Manager.

    4. (Facultatif) Dans Répliquer le secret, pour répliquer votre secret vers un autre Région AWS, choisissez Répliquer le secret. Vous pouvez reproduire votre secret maintenant ou revenir et le répliquer ultérieurement. Pour plus d’informations, consultez Reproduisez les secrets d'une région à l'autre.

    5. Choisissez Suivant.

  5. (Facultatif) Dans la page Configure rotation (Configurer la rotation), vous pouvez activer la rotation automatique. Vous pouvez également garder la rotation désactivée pour l'instant, puis l'activer plus tard. Pour plus d’informations, consultez Rotation des secrets. Choisissez Suivant.

  6. Dans la page Review (Révision), passez en revue vos paramètres, puis choisissez Store (Stocker).

    Secrets Manager revient à la liste des secrets. Si votre nouveau secret n'apparaît pas, choisissez le bouton d'actualisation.

AWS CLI

Lorsque saisissez des commandes dans un shell de commande, il existe un risque d'accès à l'historique des commandes ou aux paramètres de vos commandes. veuillez consulter Atténuer les risques liés à l'utilisation de l'AWS CLI pour stocker vos secrets AWS Secrets Manager.

Exemple Création d'un secret à partir des informations d'identification contenues dans un JSON fichier

L'exemple suivant create-secret crée un secret à partir des informations d'identification d'un fichier. Pour plus d'informations, consultez la section Chargement de AWS CLI paramètres depuis un fichier dans le Guide de AWS CLI l'utilisateur.

Pour que Secrets Manager puisse faire pivoter le secret, vous devez vous assurer qu'il JSON correspond auStructure JSON d'un secret.

aws secretsmanager create-secret \
    --name MyTestSecret \
    --secret-string file://mycreds.json

Contenus de mycreds.json :

{
    "engine": "mysql",
    "username": "saanvis",
    "password": "EXAMPLE-PASSWORD",
    "host": "my-database-endpoint.us-west-2.rds.amazonaws.com",
    "dbname": "myDatabase",
    "port": "3306"
}

AWS SDK

Pour créer un secret à l'aide de l'un des AWS SDKs, utilisez l'CreateSecretaction. Pour plus d'informations, voir AWS SDKs.