AWS - Persistence du Secrets Manager

Reading time: 3 minutes

Secrets Manager

Pour plus d'infos, consultez :

AWS - Secrets Manager Enum

Via les politiques de ressources

Il est possible de donner accès aux secrets à des comptes externes via des politiques de ressources. Consultez la page Privesc du Secrets Manager pour plus d'informations. Notez que pour accéder à un secret, le compte externe devra également avoir accès à la clé KMS chiffrant le secret.

Via Lambda de rotation des secrets

Pour faire tourner les secrets automatiquement, une Lambda configurée est appelée. Si un attaquant pouvait modifier le code, il pourrait directement exfiltrer le nouveau secret pour lui-même.

Voici à quoi pourrait ressembler le code lambda pour une telle action :

import boto3

def rotate_secrets(event, context):
# Create a Secrets Manager client
client = boto3.client('secretsmanager')

# Retrieve the current secret value
secret_value = client.get_secret_value(SecretId='example_secret_id')['SecretString']

# Rotate the secret by updating its value
new_secret_value = rotate_secret(secret_value)
client.update_secret(SecretId='example_secret_id', SecretString=new_secret_value)

def rotate_secret(secret_value):
# Perform the rotation logic here, e.g., generate a new password

# Example: Generate a new password
new_secret_value = generate_password()

return new_secret_value

def generate_password():
# Example: Generate a random password using the secrets module
import secrets
import string
password = ''.join(secrets.choice(string.ascii_letters + string.digits) for i in range(16))
return password