Réversibilité du Secret Manager managé
Le service managé Secret Manager est conçu pour garantir la réversibilité, c'est-à-dire la possibilité pour le client de récupérer ses données et de migrer vers une autre solution sans verrouillage.
Données exportables
L'ensemble des secrets, configurations et stratégies stockés dans une instance Secret Manager peut être exporté via l'API de l'instance OpenBao (compatible HashiCorp Vault).
Outils de réversibilité
Snapshots Raft via l'API HTTP
Le stockage Raft d'OpenBao permet de créer des snapshots complets de l'instance, incluant tous les secrets, les politiques d'accès et la configuration des méthodes d'authentification.
Utilisez l'endpoint GET /v1/sys/storage/raft/snapshot :
curl \
--header "X-Vault-Token: <token>" \
--output snapshot.snap \
https://<instance-host>/v1/sys/storage/raft/snapshot
Pour plus de détails, consultez le guide Sauvegardes et restaurations.
Export des secrets via l'API OpenBao
L'API REST de l'instance permet d'exporter les données de chaque moteur de secrets :
curl --header "X-Vault-Token: <token>" \
https://<instance-host>/v1/secret/metadata?list=true
Puis pour chaque secret :
curl --header "X-Vault-Token: <token>" \
https://<instance-host>/v1/secret/data/<chemin-du-secret>
Formats ouverts
- Les snapshots Raft sont au format binaire standard OpenBao, importables dans toute instance OpenBao ou Vault compatible.
- L'API REST utilise le format JSON, standard de l'industrie.
- Les secrets au format KV v2 sont exportables en JSON via l'API.
Procédure de sortie
- Créez un snapshot Raft complet de l'instance via l'API HTTP (
GET /v1/sys/storage/raft/snapshot). - Exportez les secrets individuellement via l'API REST si un format JSON est requis.
- Déployez une instance OpenBao ou Vault sur la nouvelle plateforme.
- Restaurez le snapshot Raft sur la nouvelle instance via l'API HTTP (
POST /v1/sys/storage/raft/snapshot) ou importez les secrets via l'API. - Vérifiez l'intégrité des secrets restaurés et mettez à jour les références dans vos applications.