Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Gestion des mots de passe avec Amazon Aurora et AWS Secrets Manager
<a name="rds-secrets-manager"></a>

Amazon Aurora s’intègre à Secrets Manager pour gérer les mots de passe d’utilisateur principal de vos clusters de bases de données.

**Topics**
+ [Disponibilité des régions et des versions](#rds-secrets-manager-availability)
+ [Limites de l’intégration de Secrets Manager avec Amazon Aurora](#rds-secrets-manager-limitations)
+ [Présentation de la gestion des mots de passe des utilisateurs principaux avec AWS Secrets Manager](#rds-secrets-manager-overview)
+ [Avantages de la gestion des mots de passe d’utilisateur principal avec Secrets Manager](#rds-secrets-manager-benefits)
+ [Autorisations requises pour l’intégration de Secrets Manager](#rds-secrets-manager-permissions)
+ [Appliquer la gestion du mot de passe de l'utilisateur principal par dans AWS Secrets Manager](#rds-secrets-manager-auth)
+ [Gestion du mot de passe utilisateur principal pour un cluster de base de données avec Secrets Manager](#rds-secrets-manager-db-cluster)
+ [Rotation du secret du mot de passe utilisateur principal pour un cluster de base de données](#rds-secrets-manager-rotate-db-cluster)
+ [Afficher les détails d'un secret pour un cluster de base de données](#rds-secrets-manager-view-db-cluster)

## Disponibilité des régions et des versions
<a name="rds-secrets-manager-availability"></a>

La disponibilité et la prise en charge des fonctionnalités varient selon les versions spécifiques de chaque moteur de base de données, et selon les Régions AWS. Pour plus d’informations sur la disponibilité des versions et des régions avec l’intégration de Secrets Manager avec Amazon Aurora, consultez [Régions et moteurs de base de données Aurora pris en charge pour l’intégration de Secrets Manager](Concepts.Aurora_Fea_Regions_DB-eng.Feature.SecretsManager.md). 

## Limites de l’intégration de Secrets Manager avec Amazon Aurora
<a name="rds-secrets-manager-limitations"></a>

La gestion des mots de passe d’utilisateur principal à l’aide de Secrets Manager n’est pas prise en charge pour les fonctionnalités suivantes :
+ Déploiements Amazon RDS Blue/Green 
+ Clusters de bases de données qui font partie d’une base de données globale Aurora
+ Clusters DB Aurora Serverless v1
+ Réplicas en lecture entre Régions
+ Réplication externe du journal binaire

## Présentation de la gestion des mots de passe des utilisateurs principaux avec AWS Secrets Manager
<a name="rds-secrets-manager-overview"></a>

Vous pouvez AWS Secrets Manager ainsi remplacer les informations d'identification codées en dur dans votre code, y compris les mots de passe de base de données, par un appel d'API à Secrets Manager pour récupérer le secret par programmation. Pour plus d’informations sur Secrets Manager, consultez le [Guide de l’utilisateur AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/). 

Lorsque vous stockez des secrets de base de données dans Secrets Manager, des frais Compte AWS vous sont facturés. Pour plus d’informations sur la tarification, consultez la section [AWS Secrets Manager Tarification](https://aws.amazon.com/secrets-manager/pricing).

Vous pouvez spécifier qu’Aurora doit gérer le mot de passe d’utilisateur principal dans Secrets Manager pour un cluster de bases de données Amazon Aurora quand vous effectuez l’une des opérations suivantes :
+ Création d’un cluster de bases de données 
+ Modification d’un cluster de bases de données 
+ Restauration d’un cluster de bases de données à partir d’Amazon S3 (Aurora MySQL uniquement)

Quand vous spécifiez qu’Aurora doit gérer le mot de passe d’utilisateur principal dans Secrets Manager, Aurora génère le mot de passe et le stocke dans Secrets Manager. Vous pouvez interagir directement avec le secret pour récupérer les informations d’identification de l’utilisateur principal. Vous pouvez également spécifier une clé gérée par le client pour chiffrer le secret, ou utiliser la clé KMS fournie par Secrets Manager.

Aurora gère les paramètres du secret et effectue la rotation du secret tous les sept jours, par défaut. Vous pouvez modifier certains paramètres, tels que la planification de la rotation. Si vous supprimez un cluster de bases de données qui gère un secret dans Secrets Manager, le secret et les métadonnées associées sont également supprimés.

Pour vous connecter à un cluster de base de données avec les informations d’identification contenues dans un secret, vous pouvez récupérer le secret à partir de Secrets Manager. Pour plus d'informations, voir [Extraire des secrets depuis](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets.html) une base de données SQL AWS Secrets Manager et [Se connecter à une base de données SQL avec des informations d'identification inscrites dans un AWS Secrets Manager secret](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets_jdbc.html) dans le *Guide de AWS Secrets Manager l'utilisateur*. 

## Avantages de la gestion des mots de passe d’utilisateur principal avec Secrets Manager
<a name="rds-secrets-manager-benefits"></a>

La gestion des mots de passe d’utilisateur principal Aurora avec Secrets Manager présente les avantages suivants :
+ Aurora génère automatiquement des informations d’identification de base de données.
+  Aurora stocke et gère automatiquement les informations d'identification de la base de données dans AWS Secrets Manager.
+ Aurora effectue une rotation régulière des informations d’identification de base de données, sans exiger de modifications d’application.
+ Secrets Manager sécurise les informations d’identification de base de données contre tout accès humain et tout affichage en texte brut.
+ Secrets Manager permet de récupérer les informations d’identification de base de données dans des secrets pour les connexions à une base de données.
+ Secrets Manager permet un contrôle précis de l’accès aux informations d’identification de base de données dans des secrets à l’aide d’IAM.
+ Vous pouvez éventuellement séparer le chiffrement d’une base de données du chiffrement des informations d’identification à l’aide de clés KMS différentes.
+ Vous pouvez éliminer la gestion et la rotation manuelles des informations d’identification de base de données.
+ Vous pouvez facilement surveiller les informations d'identification de la base AWS CloudTrail de données avec Amazon CloudWatch.

Pour en savoir plus sur les avantages de Secrets Manager, consultez le [Guide de l’utilisateur AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/).

## Autorisations requises pour l’intégration de Secrets Manager
<a name="rds-secrets-manager-permissions"></a>

Les utilisateurs doivent disposer des autorisations requises pour effectuer des opérations liées à l’intégration de Secrets Manager. Vous pouvez créer des politiques IAM qui accordent des autorisations pour effectuer des opérations API spécifiques sur les ressources spécifiées dont ils ont besoin. Vous pouvez ensuite attacher ces politiques aux jeux d’autorisations ou rôles IAM qui requièrent ces autorisations. Pour plus d’informations, consultez [Identity and Access Management pour Amazon Aurora](UsingWithRDS.IAM.md).

Pour les opérations de création, de modification ou de restauration, l’utilisateur qui spécifie qu’Aurora doit gérer le mot de passe d’utilisateur principal dans Secrets Manager doit avoir les autorisations nécessaires pour effectuer les opérations suivantes :
+ `kms:DescribeKey`
+ `secretsmanager:CreateSecret`
+ `secretsmanager:TagResource`

L’autorisation `kms:DescribeKey` est requise pour accéder à votre clé gérée par le client pour `MasterUserSecretKmsKeyId` et pour décrire `aws/secretsmanager`.

Pour les opérations de création, de modification ou de restauration, l’utilisateur qui spécifie la clé gérée par le client pour chiffrer le secret dans Secrets Manager doit avoir les autorisations nécessaires pour effectuer les opérations suivantes :
+ `kms:Decrypt`
+ `kms:GenerateDataKey`
+ `kms:CreateGrant`

Pour les opérations de modification, l’utilisateur qui effectue la rotation du mot de passe d’utilisateur principal dans Secrets Manager doit être autorisé à effectuer l’opération suivante :
+ `secretsmanager:RotateSecret`

## Appliquer la gestion du mot de passe de l'utilisateur principal par dans AWS Secrets Manager
<a name="rds-secrets-manager-auth"></a>

Vous pouvez utiliser des clés de condition IAM pour mettre en œuvre la gestion par Aurora du mot de passe d’utilisateur principal dans AWS Secrets Manager. La politique suivante n’autorise pas les utilisateurs à créer ni à restaurer des instances de base de données ou des clusters de bases de données , à moins que le mot de passe d’utilisateur principal soit géré par Aurora dans Secrets Manager.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": ["rds:CreateDBInstance", "rds:CreateDBCluster", "rds:RestoreDBInstanceFromS3", "rds:RestoreDBClusterFromS3"],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "rds:ManageMasterUserPassword": false
                }
            }
        }
    ]
}
```

------

**Note**  
Cette politique impose la gestion des mots de passe dès AWS Secrets Manager leur création. Toutefois, vous pouvez toujours désactiver l’intégration de Secrets Manager et définir manuellement un mot de passe principal en modifiant le cluster.  
Pour éviter cela, incluez `rds:ModifyDBInstance`, `rds:ModifyDBCluster` dans le bloc action de la politique. Sachez que cela empêche l’utilisateur d’appliquer d’autres modifications aux clusters existant(e)s n’ayant pas l’intégration de Secrets Manager activée. 

Pour plus d’informations sur l’utilisation de clés de condition dans les politiques IAM, consultez [Clés de condition de politique pour Aurora](security_iam_service-with-iam.md#UsingWithRDS.IAM.Conditions) et [Exemples de politiques : Utilisation des clés de condition](UsingWithRDS.IAM.Conditions.Examples.md).

## Gestion du mot de passe utilisateur principal pour un cluster de base de données avec Secrets Manager
<a name="rds-secrets-manager-db-cluster"></a>

Vous pouvez configurer la gestion Aurora du mot de passe d’utilisateur principal dans Secrets Manager lorsque vous effectuez les actions suivantes :
+ [Création d’un cluster de bases de données Amazon Aurora](Aurora.CreateInstance.md)
+ [Modification d’un cluster de bases de données Amazon Aurora](Aurora.Modifying.md)
+ [Migration des données d'une base de données MySQL externe vers un cluster de bases de données Amazon Aurora MySQL](AuroraMySQL.Migrating.ExtMySQL.md)

Vous pouvez utiliser la console RDS AWS CLI, ou l'API RDS pour effectuer ces actions.

### Console
<a name="rds-secrets-manager-db-cluster-console"></a>

Suivez les instructions pour créer ou modifier un cluster de bases de données à l’aide de la console RDS :
+ [Création d’un cluster de bases de données](Aurora.CreateInstance.md#Aurora.CreateInstance.Creating)
+ [Modification d’une instance de base de données dans un cluster de bases de données](Aurora.Modifying.md#Aurora.Modifying.Instance)

  Dans la console RDS, vous pouvez modifier n’importe quelle instance de base de données pour spécifier les paramètres de gestion des mots de passe d’utilisateur principal pour l’ensemble du cluster de bases de données.
+ [Restauration d’un cluster de bases de données Amazon Aurora MySQL à partir d’un compartiment Amazon S3](AuroraMySQL.Migrating.ExtMySQL.S3.md#AuroraMySQL.Migrating.ExtMySQL.S3.Restore)

Lorsque vous utilisez la console RDS pour effectuer l’une de ces opérations, vous pouvez spécifier que le mot de passe d’utilisateur principal est géré par Aurora dans Secrets Manager. Pour ce faire, lorsque vous créez ou restaurez un cluster de bases de données, sélectionnez **Manage master credentials in AWS Secrets Manager** (Gérer les informations d’identification principales dans ) dans **Credential settings** (Paramètres des informations d’identification). Lorsque vous modifiez un cluster de bases de données, sélectionnez **Manage master credentials in AWS Secrets Manager** (Gérer les informations d’identification principales dans ) dans **Settings** (Paramètres).

L’image suivante est un exemple du paramètre **Manage master credentials in AWS Secrets Manager** (Gérer les informations d’identification principales dans ) lors de la création ou de la restauration d’un cluster de bases de données.

![\[Gérez les informations d'identification principales dans AWS Secrets Manager\]](http://docs.aws.amazon.com/fr_fr/AmazonRDS/latest/AuroraUserGuide/images/secrets-manager-credential-settings.png)


Lorsque vous sélectionnez cette option, Aurora génère le mot de passe d’utilisateur principal et le gère tout au long de son cycle de vie dans Secrets Manager.

![\[Gérer les informations d'identification principales dans les options AWS Secrets Manager sélectionnées\]](http://docs.aws.amazon.com/fr_fr/AmazonRDS/latest/AuroraUserGuide/images/secrets-manager-integration-create.png)


Vous pouvez choisir de chiffrer le secret à l’aide d’une clé KMS fournie par Secrets Manager ou d’une clé gérée par le client que vous créez. Quand Aurora gère les informations d’identification de base de données pour un cluster de bases de données, vous ne pouvez pas modifier la clé KMS utilisée pour chiffrer le secret.

Vous pouvez choisir d’autres paramètres en fonction de vos besoins.

Pour plus d’informations sur les paramètres disponibles quand vous créez un cluster de bases de données, consultez [Paramètres pour les clusters de bases de données Aurora](Aurora.CreateInstance.md#Aurora.CreateInstance.Settings). Pour plus d’informations sur les paramètres disponibles quand vous modifiez un cluster de bases de données, consultez [Paramètres pour Amazon Aurora](Aurora.Modifying.md#Aurora.Modifying.Settings).

### AWS CLI
<a name="rds-secrets-manager-db-cluster-cli"></a>

Pour spécifier qu’Aurora doit gérer le mot de passe d’utilisateur principal dans Secrets Manager, spécifiez l’option `--manage-master-user-password` dans l’une des commandes suivantes :
+ [create-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-cluster.html)
+ [modify-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-cluster.html)
+ [restore-db-cluster-from-s3](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-cluster-from-s3.html)

Lorsque vous spécifiez l’option `--manage-master-user-password` dans ces commandes, Aurora génère le mot de passe d’utilisateur principal et le gère tout au long de son cycle de vie dans Secrets Manager.

Pour chiffrer le secret, vous pouvez spécifier une clé gérée par le client ou utiliser la clé KMS par défaut, fournie par Secrets Manager. Utilisez l’option `--master-user-secret-kms-key-id` pour spécifier une clé gérée par le client. L'identifiant de clé AWS KMS est l'ARN de la clé, l'ID de clé, l'alias ARN ou le nom d'alias de la clé KMS. Pour utiliser une clé KMS dans une autre Compte AWS, spécifiez l'ARN de la clé ou l'alias ARN. Quand Aurora gère les informations d’identification de base de données pour un cluster de bases de données, vous ne pouvez pas modifier la clé KMS utilisée pour chiffrer le secret.

Vous pouvez choisir d’autres paramètres en fonction de vos besoins.

Pour plus d’informations sur les paramètres disponibles quand vous créez un cluster de bases de données, consultez [Paramètres pour les clusters de bases de données Aurora](Aurora.CreateInstance.md#Aurora.CreateInstance.Settings). Pour plus d’informations sur les paramètres disponibles quand vous modifiez un cluster de bases de données, consultez [Paramètres pour Amazon Aurora](Aurora.Modifying.md#Aurora.Modifying.Settings).

Cet exemple crée un cluster de bases de données et spécifie qu’Aurora doit gérer le mot de passe dans Secrets Manager. Ce secret est chiffré à l’aide de la clé KMS fournie par Secrets Manager.

**Example**  
Pour Linux, macOS ou Unix :  

```
1. aws rds create-db-cluster \
2.      --db-cluster-identifier sample-cluster \
3.      --engine aurora-mysql \
4.      --engine-version 8.0 \
5.      --master-username admin \
6.      --manage-master-user-password
```
Pour Windows :  

```
1. aws rds create-db-cluster ^
2.      --db-cluster-identifier sample-cluster ^
3.      --engine aurora-mysql ^
4.      --engine-version 8.0 ^
5.      --master-username admin ^
6.      --manage-master-user-password
```

### API RDS
<a name="rds-secrets-manager-db-cluster-api"></a>

Pour spécifier que Aurora doit gérer le mot de passe d’utilisateur principal dans Secrets Manager, affectez au paramètre `ManageMasterUserPassword` la valeur `true` dans l’une des opérations suivantes :
+ [CréerDBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBCluster.html)
+ [ModifyDBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBCluster.html)
+ [Restaurer DBCluster depuis S3](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBClusterFromS3.html)

Lorsque vous affectez au paramètre `ManageMasterUserPassword` la valeur `true` dans l’une de ces opérations, Aurora génère le mot de passe d’utilisateur principal et le gère tout au long de son cycle de vie dans Secrets Manager.

Pour chiffrer le secret, vous pouvez spécifier une clé gérée par le client ou utiliser la clé KMS par défaut, fournie par Secrets Manager. Utilisez le paramètre `MasterUserSecretKmsKeyId` pour spécifier une clé gérée par le client. L'identifiant de clé AWS KMS est l'ARN de la clé, l'ID de clé, l'alias ARN ou le nom d'alias de la clé KMS. Pour utiliser une clé KMS dans un autre Compte AWS, spécifiez l’ARN de la clé ou l’ARN de l’alias. Quand Aurora gère les informations d’identification de base de données pour un cluster de bases de données, vous ne pouvez pas modifier la clé KMS utilisée pour chiffrer le secret.

## Rotation du secret du mot de passe utilisateur principal pour un cluster de base de données
<a name="rds-secrets-manager-rotate-db-cluster"></a>

Quand Aurora effectue la rotation d’un secret de mot de passe d’utilisateur principal, Secrets Manager génère une nouvelle version de secret pour le secret existant. La nouvelle version du secret contient le nouveau mot de passe d’utilisateur principal. Aurora modifie le mot de passe d’utilisateur principal du cluster de bases de données pour qu’il corresponde au mot de passe de la nouvelle version de secret.

Vous pouvez effectuer immédiatement la rotation d’un secret au lieu d’attendre une rotation planifiée. Pour effectuer la rotation d’un secret de mot de passe d’utilisateur principal dans Secrets Manager, modifiez le cluster de bases de données . Pour plus d’informations sur la modification d’un cluster de bases de données, consultez [Modification d’un cluster de bases de données Amazon Aurora](Aurora.Modifying.md).

Vous pouvez modifier immédiatement le secret d'un mot de passe utilisateur principal à l'aide de la console RDS, de l' AWS CLI API RDS ou de l'API RDS. Le nouveau mot de passe comporte toujours 28 caractères et contient au moins un caractère majuscule et minuscule, un chiffre et un caractère de ponctuation. 

### Console
<a name="rds-secrets-manager-rotate-db-instance-console"></a>

Pour effectuer la rotation d’un secret de mot de passe d’utilisateur principal à l’aide de la console RDS, modifiez le cluster de bases de données et sélectionnez **Rotate secret immediately** (Effectuer immédiatement une rotation du secret) dans **Settings** (Paramètres).

![\[Effectuer immédiatement une rotation du secret de mot de passe d’utilisateur principal\]](http://docs.aws.amazon.com/fr_fr/AmazonRDS/latest/AuroraUserGuide/images/secrets-manager-integration-rotate-aurora.png)


Suivez les instructions pour modifier un cluster de bases de données avec la console RDS dans [Modification du cluster de bases de données à partir de la console, de l’CLI (CLI) et de l’API](Aurora.Modifying.md#Aurora.Modifying.Cluster). Vous devez choisir **Apply immediately** (Appliquer immédiatement) sur la page de confirmation.

### AWS CLI
<a name="rds-secrets-manager-rotate-db-instance-cli"></a>

Pour faire pivoter le code secret d'un utilisateur principal à l'aide de AWS CLI, utilisez la [modify-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-cluster.html)commande et spécifiez l'`--rotate-master-user-password`option. Vous devez spécifier l’option `--apply-immediately` lorsque vous effectuez la rotation du mot de passe principal.

Cet exemple effectue la rotation d’un secret de mot de passe d’utilisateur principal.

**Example**  
Pour Linux, macOS ou Unix :  

```
1. aws rds modify-db-cluster \
2.     --db-cluster-identifier mydbcluster \
3.     --rotate-master-user-password \
4.     --apply-immediately
```
Pour Windows :  

```
1. aws rds modify-db-cluster ^
2.     --db-cluster-identifier mydbcluster ^
3.     --rotate-master-user-password ^
4.     --apply-immediately
```

### API RDS
<a name="rds-secrets-manager-rotate-db-instance-api"></a>

Vous pouvez faire pivoter le secret du mot de passe d'un utilisateur principal à l'aide de DBCluster l'opération [Modifier](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBCluster.html) et en définissant le `RotateMasterUserPassword` paramètre sur`true`. Vous devez affecter au paramètre `ApplyImmediately` la valeur `true` lorsque vous effectuez la rotation du mot de passe principal.

## Afficher les détails d'un secret pour un cluster de base de données
<a name="rds-secrets-manager-view-db-cluster"></a>

Vous pouvez récupérer vos secrets à l'aide de la console ([https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)) ou de la commande AWS CLI ([get-secret-value](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-secret-value.html)Secrets Manager).

Vous pouvez trouver le Amazon Resource Name (ARN) d'un secret géré par Aurora dans Secrets Manager avec la console RDS AWS CLI, ou l'API RDS.

### Console
<a name="rds-secrets-manager-view-db-cluster-console"></a>

**Pour afficher les détails d'un secret géré par Aurora dans Secrets Manager**

1. Connectez-vous à la console Amazon RDS AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/)l'adresse.

1. Dans le panneau de navigation, choisissez **Databases (Bases de données)**.

1. Choisissez le nom du cluster de bases de données pour afficher ses détails.

1. Cliquez sur l’onglet **Configuration**.

   Dans **Master Credentials ARN** (ARN des informations d’identification principales), vous pouvez consulter l’ARN du secret.  
![\[Affichage des détails d’un secret géré par Aurora dans Secrets Manager\]](http://docs.aws.amazon.com/fr_fr/AmazonRDS/latest/AuroraUserGuide/images/secrets-manager-integration-view-cluster.png)

   Vous pouvez suivre le lien **Manage in Secrets Manager** (Gérer dans Secrets Manager) pour consulter et gérer le secret dans la console Secrets Manager.

### AWS CLI
<a name="rds-secrets-manager-view-db-instance-cli"></a>

Vous pouvez utiliser la AWS CLI [describe-db-clusters](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-clusters.html)commande RDS pour trouver les informations suivantes sur un secret géré par dans Secrets Manager :
+ `SecretArn` : l’ARN du secret
+ `SecretStatus` : le statut du secret

  Les valeurs de statut possibles incluent les suivantes :
  + `creating` : le secret est en cours de création.
  + `active` : le secret est disponible pour une utilisation et une rotation normales.
  + `rotating` : la rotation du secret est en cours.
  + `impaired` : le secret peut être utilisé pour accéder aux informations d’identification de base de données, mais il est impossible d’effectuer sa rotation. Un secret peut avoir ce statut si, par exemple, les autorisations sont modifiées de telle sorte que RDS ne puisse plus accéder au secret ou à la clé KMS associée à ce secret.

    Lorsqu’un secret possède ce statut, vous pouvez corriger la condition à l’origine de ce statut. Si vous corrigez la condition à l’origine du statut, celui-ci reste `impaired` jusqu’à la rotation suivante. Vous pouvez également modifier le cluster de bases de données pour désactiver la gestion automatique des informations d’identification de base de données, puis modifier à nouveau le cluster de bases de données pour activer la gestion automatique des informations d’identification de base de données. Pour modifier le cluster de base de données, utilisez l'`--manage-master-user-password`option de la [modify-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-cluster.html)commande.
+ `KmsKeyId` : l’ARN de la clé KMS utilisée pour chiffrer le secret

Spécifiez l’option `--db-cluster-identifier` permettant d’afficher la sortie pour un cluster de bases de données spécifique. Cet exemple montre la sortie d’un secret utilisé par un cluster de bases de données.

**Example**  

```
1. aws rds describe-db-clusters --db-cluster-identifier mydbcluster
```
L’exemple suivant montre la sortie pour un secret :  

```
"MasterUserSecret": {
                "SecretArn": "arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx",
                "SecretStatus": "active",
                "KmsKeyId": "arn:aws:kms:eu-west-1:123456789012:key/0987dcba-09fe-87dc-65ba-ab0987654321"
            }
```

Lorsque vous disposez de l'ARN secret, vous pouvez consulter les détails du secret à l'aide de la commande [get-secret-value](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-secret-value.html)Secrets Manager CLI.

Cet exemple montre les détails du secret dans l’exemple de sortie précédent.

**Example**  
Pour Linux, macOS ou Unix :  

```
aws secretsmanager get-secret-value \
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'
```
Pour Windows :  

```
aws secretsmanager get-secret-value ^
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'
```

### API RDS
<a name="rds-secrets-manager-rotate-db-instance-api"></a>

Vous pouvez consulter l'ARN, le statut et la clé KMS d'un secret géré par Aurora dans Secrets Manager à l'aide de l'opération [Describe DBClusters](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_DescribeDBClusters.html) RDS et en définissant le `DBClusterIdentifier` paramètre sur un identifiant de cluster de base de données. Les détails sur le secret sont inclus dans la sortie.

Lorsque vous disposez de l'ARN secret, vous pouvez consulter les détails du secret à l'aide de l'opération [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html)Secrets Manager.