Reproduisez les AWS Secrets Manager secrets d'une région à l'autre - AWS Secrets Manager
AWS CLIAWS SDK

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Reproduisez les AWS Secrets Manager secrets d'une région à l'autre

Vous pouvez reproduire vos secrets en plusieurs exemplaires Régions AWS pour prendre en charge des applications réparties dans ces régions afin de répondre aux exigences régionales en matière d'accès et de faible latence. Si vous en avez besoin ultérieurement, vous pouvez transformer un secret de réplique en un secret autonome, puis le configurer pour une réplication indépendante. Secrets Manager réplique les données et métadonnées chiffrées du secret, telles que les identifications et les politiques de ressources, dans les régions spécifiées.

L'ARN d'un secret répliqué est identique au secret principal à l'exception de la région, par exemple :

  • Secret principal :arn:aws:secretsmanager:Region1:123456789012:secret:MySecret-a1b2c3

  • Secret de réplica : arn:aws:secretsmanager:Region2:123456789012:secret:MySecret-a1b2c3

Pour obtenir des informations sur la tarification des secrets de réplica, veuillez consulter la Tarification d'AWS Secrets Manager.

Lorsque vous stockez les informations d'identification de base de données pour une base de données source répliquée vers d'autres régions, le secret contient des informations de connexion pour la base de données source. Si vous répliquez ensuite le secret, les réplicas sont des copies du secret source et contiennent les mêmes informations de connexion. Vous pouvez ajouter des paires clé-valeur supplémentaires au secret pour obtenir des informations de connexion régionale.

Si vous activez la rotation pour votre secret principal, Secrets Manager effectue une rotation du secret dans la région principale et la nouvelle valeur du secret se propage à tous les secrets répliqués associés. Vous n'avez pas à gérer la rotation individuellement pour tous les secrets répliqués.

Vous pouvez reproduire les secrets dans toutes vos AWS régions activées. Toutefois, si vous utilisez Secrets Manager dans des AWS régions spéciales telles que AWS GovCloud (US) les régions chinoises, vous ne pouvez configurer les secrets et les répliques que dans ces AWS régions spécialisées. Vous ne pouvez pas répliquer un secret de vos AWS régions activées vers une région spécialisée, ni reproduire un secret d'une région spécialisée vers une région commerciale.

Avant de pouvoir répliquer un secret vers une autre région, vous devez activer cette région. Pour plus d'informations, consultez Gestion des régions AWS.

Il est possible d'utiliser un secret dans plusieurs régions sans le répliquer en appelant le point de terminaison Secrets Manager dans la région où le secret est stocké. Pour obtenir la liste des points de terminaison , consultez AWS Secrets Manager points de terminaison. Pour utiliser la réplication afin d'améliorer la résilience de votre charge de travail, consultez Disaster Recovery Architecture on AWS, Part I : Strategies for Recovery in the Cloud.

Secrets Manager génère une entrée de CloudTrail journal lorsque vous répliquez un secret. Pour plus d’informations, consultez Enregistrez AWS Secrets Manager les événements avec AWS CloudTrail.

Pour répliquer un secret vers d'autres régions (console)

  1. Ouvrez la console Secrets Manager en suivant le lien https://console.aws.amazon.com/secretsmanager/.

  2. Dans la liste des secrets, choisissez le secret.

  3. Sur la page Détails du secret, sous l'onglet Réplication procédez de l'une des manières suivantes :

    • Si votre secret n'est pas répliqué, choisissez Replicate secret (Répliquer le secret).

    • Si votre secret est répliqué, dans la section Replicate secret (Répliquer le secret), choisissez Add Region (Ajouter une région).

  4. Dans la boîte de dialogue Add replica regions, procédez comme suit :

    1. Pour AWS Région, choisissez la région dans laquelle vous souhaitez répliquer le secret.

    2. (Facultatif) Pour Clé de chiffrement, choisissez une clé KMS avec laquelle chiffrer le secret. La clé doit se trouver dans la région de la réplique.

    3. (Facultatif) Pour ajouter une autre région, choisissez Add more regions (Ajouter des régions supplémentaires).

    4. Choisissez Replicate (Répliquer).

    Vous revenez à la page des détails du secret. Dans la section Replicate secret (Répliquer le secret), l'état de réplication s'affiche pour chaque région.

AWS CLI

Exemple Réplication d'un secret vers une autre région

L'exemple suivant replicate-secret-to-regions réplique un secret vers la zone eu-west-3. La réplique est chiffrée avec la clé AWS gérée aws/secretsmanager.

aws secretsmanager replicate-secret-to-regions \
        --secret-id MyTestSecret \
        --add-replica-regions Region=eu-west-3
Exemple Créez un secret et dupliquez-le

L'exemple suivant crée un secret et le réplique dans eu-west-3. La réplique est chiffrée avec la clé AWS gérée aws/secretsmanager.

aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
    --add-replica-regions Region=eu-west-3

AWS SDK

Pour répliquer un secret, utilisez la commande ReplicateSecretToRegions. Pour plus d'informations, voir AWS SDK.