AWS Secrets Manager

AWS Secrets Manager est le service AWS dédié à la gestion centralisée et sécurisée des secrets (database credentials, API keys, OAuth tokens, certificates), lancé en 2018. Comparé à Parameter Store, c'est l'option premium offrant la rotation automatique, la réplication multi-region et l'intégration profonde avec les bases de données AWS.

Features clés : (1) Encryption at rest via AWS KMS (clé par défaut aws/secretsmanager ou CMK custom — préférable pour cross-account access et audit isolation) ; (2) Versioning automatique — staging labels AWSCURRENT, AWSPREVIOUS, AWSPENDING pour gérer les rotations ; (3) Rotation automatique configurable — pour Amazon RDS (MySQL, PostgreSQL, Oracle, MariaDB, MSSQL), Amazon Redshift, Amazon DocumentDB sans aucun code ; pour autres bases ou APIs, via Lambda custom rotation function (templates pour Active Directory, MongoDB, OracleDB on-prem, etc.) ; (4) Multi-region replication — réplication sync vers N régions, idéal pour applications globales et DR ; (5) Cross-account access via resource policies ; (6) Dynamic credential resolution — RDS Proxy, ECS task definitions, EKS via Secrets Store CSI driver, Lambda env vars (avec Secrets Manager extension) résolvent les secrets sans hardcoder ARN ; (7) AWS PrivateLink pour accès via VPC sans Internet ; (8) Compliance — PCI DSS, HIPAA, SOC, FedRAMP.

Format secrets : JSON structuré recommandé (`{"username":"admin","password":"...","engine":"mysql","host":"...","port":3306,"dbname":"..."}`) — Secrets Manager SDK et integrations parsent automatiquement.

Pricing : 0.40\$/secret/mois (au prorata) + 0.05\$ per 10 000 API calls. Cher si beaucoup de secrets (1000 secrets = 400\$/mois), d'où Parameter Store comme alternative gratuite pour secrets simples.

Best practices : (1) un secret par database/credential set, jamais multi-purpose ; (2) rotation enabled pour databases (30-90 jours) ; (3) CMK KMS dédiée par environnement avec key policies ; (4) IAM least privilege (GetSecretValue scoped au resource ARN) ; (5) CloudTrail logs centralized ; (6) tags pour cost allocation et automation ; (7) éviter les secrets dans Git, CI/CD env vars, ECS env (utiliser secrets references) ; (8) considérer External Secrets Operator pour Kubernetes EKS qui sync Secrets Manager → K8s Secrets transparent.

Alternatives : HashiCorp Vault (multi-cloud, plus de features avancées comme dynamic secrets DB, transit encryption, PKI), CyberArk Conjur, Doppler, Akeyless. Compétences clés AZ-500, SC-300, SAA-C03, AWS Security Specialty.