Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Authentifizieren Sie sich mit AWS Secrets Manager in Amazon Data Firehose
Amazon Data Firehose lässt sich integrieren AWS Secrets Manager , um sicheren Zugriff auf Ihre vertraulichen Daten zu ermöglichen und die Rotation von Anmeldeinformationen zu automatisieren. Diese Integration ermöglicht es Firehose, zur Laufzeit ein Geheimnis aus Secrets Manager abzurufen, um eine Verbindung zu zuvor genannten Streaming-Zielen herzustellen und Ihre Datenströme bereitzustellen. Dadurch sind Ihre Geheimnisse während des Workflows zur Stream-Erstellung weder in noch in API-Parametern im AWS-Managementkonsole Klartext sichtbar. Es bietet eine sichere Methode zur Verwaltung Ihrer Geheimnisse und entlastet Sie von komplexen Aktivitäten zur Verwaltung von Anmeldeinformationen wie der Einrichtung benutzerdefinierter Lambda-Funktionen zur Verwaltung von Passwortrotationen.
Weitere Informationen finden Sie im [AWS Secrets Manager -Benutzerhandbuch](https://docs.aws.amazon.com/secretsmanager/latest/userguide).
**Topics**
+ [Verstehen Sie Geheimnisse](secrets-manager-whats-secret.md)
+ [Ein Secret erstellen](secrets-manager-create.md)
+ [Verwenden Sie das Geheimnis](secrets-manager-how.md)
+ [Drehe das Geheimnis](secrets-manager-rotate.md)
# Verstehen Sie Geheimnisse
Ein Geheimnis kann ein Passwort, ein Satz von Anmeldeinformationen wie ein Benutzername und ein Passwort, ein OAuth Token oder andere geheime Informationen sein, die Sie in verschlüsselter Form in Secrets Manager speichern.
Für jedes Ziel müssen Sie das geheime Schlüssel-Wert-Paar im richtigen JSON-Format angeben, wie im folgenden Abschnitt gezeigt. Amazon Data Firehose kann keine Verbindung zu Ihrem Ziel herstellen, wenn Ihr Secret nicht das richtige JSON-Format für das Ziel hat.
**Geheimformat für Datenbanken wie MySQL und PostgreSQL**
```
{
"username": "",
"password": ""
}
```
**Geheimformat für Amazon Redshift Provisioned Cluster und Amazon Redshift Serverless Workgroup**
```
{
"username": "",
"password": ""
}
```
**Format des Geheimnisses für Splunk**
```
{
"hec_token": ""
}
```
**Format des Geheimnisses für Snowflake**
```
{
"user": "",
"private_key": "", // without the beginning and ending private key, remove all spaces and newlines
"key_passphrase": "" // optional
}
```
**Geheimformat für HTTP-Endpunkt, Coralogix, Datadog, Dynatrace, Elastic, Honeycomb, Logz.io, MongoDB Cloud und New LogicMonitor Relic**
```
{
"api_key": ""
}
```
# Ein Secret erstellen
Um ein Geheimnis zu erstellen, folgen Sie den Schritten [unter Ein AWS Secrets Manager Geheimnis erstellen](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html) im *AWS Secrets Manager Benutzerhandbuch*.
# Verwenden Sie das Geheimnis
Wir empfehlen Ihnen, Ihre Anmeldeinformationen oder Schlüssel AWS Secrets Manager zu speichern, um eine Verbindung zu Streaming-Zielen wie Amazon Redshift, HTTP-Endpoint, Snowflake, Splunk, Coralogix, Datadog, Dynatrace, Elastic, Honeycomb, Logz.io, MongoDB Cloud und New Relic herzustellen. LogicMonitor
Sie können die Authentifizierung mit Secrets Manager für diese Ziele über die AWS Management Console zum Zeitpunkt der Erstellung des Firehose-Streams konfigurieren. Weitere Informationen finden Sie unter [Zieleinstellungen konfigurieren](create-destination.md). Alternativ können Sie auch die [UpdateDestination](https://docs.aws.amazon.com/firehose/latest/APIReference/API_UpdateDestination.html)API-Operationen [CreateDeliveryStream](https://docs.aws.amazon.com/firehose/latest/APIReference/API_CreateDeliveryStream.html)und verwenden, um die Authentifizierung mit Secrets Manager zu konfigurieren.
Firehose speichert die Geheimnisse mit einer Verschlüsselung zwischen und verwendet sie für jede Verbindung zu Zielen. Es aktualisiert den Cache alle 10 Minuten, um sicherzustellen, dass die neuesten Anmeldeinformationen verwendet werden.
Sie können die Funktion zum Abrufen von Geheimnissen aus Secrets Manager jederzeit während des Lebenszyklus des Streams deaktivieren. Wenn Sie Secrets Manager nicht zum Abrufen von Geheimnissen verwenden möchten, können Sie stattdessen den API-Schlüssel username/password oder verwenden.
**Anmerkung**
Obwohl für diese Funktion in Firehose keine zusätzlichen Kosten anfallen, werden Ihnen der Zugriff und die Wartung von Secrets Manager in Rechnung gestellt. Weitere Informationen finden Sie auf der Preisseite für [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/pricing/).
## Gewähren Sie Firehose Zugriff, um das Geheimnis abzurufen
Damit Firehose ein Geheimnis abrufen kann AWS Secrets Manager, müssen Sie Firehose die erforderlichen Berechtigungen für den Zugriff auf das Geheimnis und den Schlüssel, der Ihr Geheimnis verschlüsselt, gewähren.
Beim Speichern und Abrufen von AWS Secrets Manager Geheimnissen gibt es einige unterschiedliche Konfigurationsoptionen, je nachdem, wo das Geheimnis gespeichert und wie es verschlüsselt ist.
+ Wenn das Geheimnis in demselben AWS Konto wie Ihre IAM-Rolle gespeichert und mit dem AWS verwalteten Standardschlüssel (`aws/secretsmanager`) verschlüsselt ist, benötigt die IAM-Rolle, von der Firehose annimmt, nur eine `secretsmanager:GetSecretValue` Genehmigung für das Geheimnis.
```
// secret role policy
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:GetSecretValue",
"Resource": "Secret ARN"
}
]
}
```
Weitere Informationen zu IAM-Richtlinien finden Sie unter Beispiele für [Berechtigungsrichtlinien](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples.html). AWS Secrets Manager
+ Wenn der geheime Schlüssel in demselben Konto wie die Rolle gespeichert, aber mit einem vom [Kunden verwalteten Schlüssel](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) (CMK) verschlüsselt ist, benötigt die Rolle beides `secretsmanager:GetSecretValue` und `kms:Decrypt` Berechtigungen. Die CMK-Richtlinie muss auch die Ausführung der IAM-Rolle ermöglichen. `kms:Decrypt`
+ Wenn das Geheimnis in einem anderen AWS Konto als Ihrer Rolle gespeichert und mit dem AWS verwalteten Standardschlüssel verschlüsselt ist, ist diese Konfiguration nicht möglich, da Secrets Manager keinen kontoübergreifenden Zugriff zulässt, wenn das Geheimnis mit einem AWS verwalteten Schlüssel verschlüsselt ist.
+ Wenn das Geheimnis in einem anderen Konto gespeichert und mit einem CMK verschlüsselt ist, benötigt die IAM-Rolle eine Genehmigung für das Geheimnis und `kms:Decrypt` eine `secretsmanager:GetSecretValue` Genehmigung für den CMK. Die Ressourcenrichtlinie des Geheimnisses und die CMK-Richtlinie des anderen Kontos müssen der IAM-Rolle ebenfalls die erforderlichen Berechtigungen gewähren. Weitere Informationen finden Sie unter [Kontoübergreifender](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html) Zugriff.
# Drehe das Geheimnis
*Rotation* bedeutet, dass Sie ein Geheimnis regelmäßig aktualisieren. Sie können so konfigurieren AWS Secrets Manager , dass das Geheimnis nach einem von Ihnen festgelegten Zeitplan automatisch für Sie rotiert wird. Auf diese Weise können Sie langfristige Geheimnisse durch kurzfristige ersetzen. Dies trägt dazu bei, das Risiko von Kompromissen zu verringern. Weitere Informationen finden Sie im *AWS Secrets Manager Benutzerhandbuch* unter [Rotate AWS Secrets Manager Secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html).