Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Replizieren Sie AWS Secrets Manager Geheimnisse in allen Regionen
<a name="replicate-secrets"></a>

Sie können Ihre Secrets in mehreren Regionen replizieren, um Anwendungen AWS-Regionen zu unterstützen, die über diese Regionen verteilt sind, und so die Anforderungen an regionalen Zugriff und geringe Latenz zu erfüllen. Bei Bedarf können Sie ein geheimes Replikat zu [einem eigenständigen Replikatgeheimnis heraufstufen](standalone-secret.md) und es dann unabhängig für die Replikation einrichten. Secrets Manager repliziert die verschlüsselten geheimen Daten und Metadaten wie Tags und Ressourcenrichtlinien in den angegebenen Regionen. 

Der ARN für ein repliziertes Secret ist bis auf die Region mit dem primären Secret identisch, zum Beispiel:
+ Primäres Secret: `arn:aws:secretsmanager:Region1:123456789012:secret:MySecret-a1b2c3`
+ Replikat-Secret: `arn:aws:secretsmanager:Region2:123456789012:secret:MySecret-a1b2c3`

Preisinformationen für Replikat-Secrets finden Sie unter [AWS Secrets Manager -Preise](https://aws.amazon.com/secrets-manager/pricing/).

Wenn Sie die Datenbank Anmeldeinformation für eine Quelldatenbank speichern, die in anderen Regionen repliziert wird, enthält das Secret Verbindungsinformationen für die Quelldatenbank. Wenn Sie dann das Secret replizieren, sind die Replikate Kopien des Quellsecret und enthalten dieselben Verbindungsinformationen. Sie können dem Secret weitere key/value Paare für regionale Verbindungsinformationen hinzufügen.

Wenn Sie die Rotation für Ihr primäres Secret aktivieren, rotiert Secrets Manager das Secret in der primären Region, und der neue Geheimniswert wird an alle zugeordneten Replikat-Geheimnisse weitergegeben. Sie müssen die Drehung nicht für alle Geheimnis-Replikate einzeln verwalten. 

Sie können geheime Daten in all Ihren aktivierten AWS Regionen replizieren. Wenn Sie Secrets Manager jedoch in speziellen AWS Regionen wie AWS GovCloud (US) oder Regionen in China verwenden, können Sie Secrets und Replicas nur in diesen speziellen AWS Regionen konfigurieren. Sie können ein Geheimnis in Ihren aktivierten AWS Regionen nicht in eine spezielle Region replizieren oder Geheimnisse aus einer speziellen Region in eine kommerzielle Region replizieren. 

Bevor Sie ein Geheimnis in eine andere Region replizieren können, müssen Sie diese Region aktivieren. Weitere Informationen finden Sie unter [Verwalten von AWS -Regionen](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable).

Sie können ein Secret in mehreren Regionen verwenden, ohne dass es repliziert wurde, indem Sie den Secrets-Manager-Endpunkt in der Region aufrufen, in der das Secret gespeichert ist. Eine Liste der Endpunkte finden Sie unter [AWS Secrets Manager Endpunkte](asm_access.md#endpoints). Informationen zur Verbesserung der Ausfallsicherheit Ihres Workloads mithilfe von Replikation finden Sie unter [Disaster Recovery (DR) -Architektur unter AWS Teil I: Strategien für die Wiederherstellung in der Cloud](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-i-strategies-for-recovery-in-the-cloud/).

Secrets Manager generiert einen CloudTrail Protokolleintrag, wenn Sie ein Geheimnis replizieren. Weitere Informationen finden Sie unter [AWS Secrets Manager Ereignisse protokollieren mit AWS CloudTrail](monitoring-cloudtrail.md).

**So replizieren Sie ein Secret in andere Regionen (Konsole)**

1. Öffnen Sie die Secrets Manager Manager-Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Wählen Sie aus der Liste der Secrets Ihr Secret aus.

1. Führen Sie auf der Seite zu den Secret-Details auf der Registerkarte **Replikation** einen der folgenden Schritte aus:
   + Wenn Ihr Geheimnis nicht repliziert wird, wählen Sie **Geheimnis in andere Regionen replizieren** aus.
   + Wenn Ihr Geheimnis repliziert wird, wählen Sie im Abschnitt **Geheimnis replizieren** **Region hinzufügen** aus.

1. Führen Sie im Dialogfeld **Replikatwert hinzufügen** die folgenden Schritte aus:

   1. Wählen Sie für **AWS -Region** die Region aus, in die Sie das Secret replizieren möchten.

   1. (Optional) Wählen Sie für **Verschlüsselungsschlüssel** einen KMS-Schlüssel, mit dem Sie das Secret verschlüsseln möchten. Der Schlüssel muss in der Replikat-Region sein.

   1. (Optional) Zum Hinzufügen einer weiteren Region wählen Sie **Weitere Regionen hinzufügen** aus.

   1. Wählen Sie **Replikat**.

   Sie kehren zur Details-Seite des Geheimnisses zurück. Wählen Sie im Abschnitt **Geheimnis replizieren** die Region mit dem **Replikatsstatus** aus. 

## AWS CLI
<a name="replicate-secrets_CLI"></a>

**Example Secret in eine andere Region replizieren**  
Im folgenden [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/replicate-secret-to-regions.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/replicate-secret-to-regions.html)-Beispiel wird ein Secret in eu-west-3 repliziert. Das Replikat ist mit dem AWS verwalteten Schlüssel **aws/secretsmanager** verschlüsselt.  

```
aws secretsmanager replicate-secret-to-regions \
        --secret-id MyTestSecret \
        --add-replica-regions Region=eu-west-3
```

**Example Erstellen Sie ein Geheimnis und replizieren Sie es**  
Das folgende [Beispiel](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/create-secret.html) erstellt ein Geheimnis und repliziert es nach eu-west-3. Das Replikat ist verschlüsselt mit dem. Von AWS verwalteter Schlüssel **aws/secretsmanager**  

```
aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
    --add-replica-regions Region=eu-west-3
```

## AWS SDK
<a name="replicate-secrets_SDK"></a>

Um ein Geheimnis zu replizieren, verwenden Sie den [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html)-Befehl. Weitere Informationen finden Sie unter [AWS SDKs](asm_access.md#asm-sdks).

# Erheben Sie ein Replikatgeheimnis zu einem eigenständigen Geheimnis in AWS Secrets Manager
<a name="standalone-secret"></a>

Ein geheimer Replikatschlüssel ist ein geheimer Schlüssel, der von einem Primärschlüssel auf einen anderen repliziert wird. AWS-Region Es hat den gleichen geheimen Wert und die gleichen Metadaten wie die primäre, kann aber mit einem anderen KMS-Schlüssel verschlüsselt werden. Ein Replikatgeheimnis kann nicht unabhängig von seinem primären Geheimnis aktualisiert werden, mit Ausnahme seines Verschlüsselungsschlüssels. Das Anheben eines Replikatgeheimnisses trennt das Replikatgeheimnis vom primären Geheimnis und macht das Replikat zu einem eigenständigen Geheimnis. Änderungen am primären Geheimnis werden nicht auf das eigenständige Geheimnis repliziert. 

Möglicherweise möchten Sie ein Replikat-Geheimnis als Notfallwiederherstellungslösung zu einem eigenständigen Geheimnis hochstufen, wenn das primäre Geheimnis nicht verfügbar ist. Oder Sie möchten ein Replikat zu einem eigenständigen Geheimnis hochstufen, wenn Sie die Drehung für das Replikat aktivieren möchten.

Wenn Sie ein Replikat heraufstufen, stellen Sie sicher, dass die entsprechenden Anwendungen aktualisiert werden, um das eigenständige Geheimnis zu verwenden. 

Secrets Manager generiert einen CloudTrail Protokolleintrag, wenn Sie ein Geheimnis heraufstufen. Weitere Informationen finden Sie unter [AWS Secrets Manager Ereignisse protokollieren mit AWS CloudTrail](monitoring-cloudtrail.md).

**So stufen Sie ein Replikatgeheimnis hoch (Konsole)**

1. Melden Sie sich beim Secrets Manager unter an [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/). 

1. Navigieren Sie zur Replikat-Region. 

1. Wählen Sie auf der Seite **Secrets** das Replikat-Secret aus.

1. Wählen Sie auf der Seite mit den Details zum Replikat-Secret **Promote to standalone secret** (Auf eigenständiges Secret heraufstufen).

1. Geben Sie im Dialogfeld **Promote replica to standalone secret** (Replikat zu eigenständigem Secret heraufstufen) die Region ein und wählen Sie dann **Promote replica** (Replikat heraufstufen) aus.

## AWS CLI
<a name="standalone-secret-cli"></a>

**Example Ein Replikat-Secret zu einem primären heraufstufen**  
Im folgenden [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html)-Beispiel wird die Verknüpfung zwischen einem Replikat-Secret und dem primären entfernt. Das Replikat-Secret wird in der Replikat-Region zum primären Secret heraufgestuft. Sie müssen [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html) innerhalb der Replikatregion aufrufen.  

```
aws secretsmanager stop-replication-to-replica \
    --secret-id MyTestSecret
```

## AWS SDK
<a name="standalone-secret-sdk"></a>

Verwenden Sie den [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html)-Befehl, um ein Replikat zu einem eigenständigen Geheimnis hochzustufen. Sie müssen diesen Befehl aus der Replikat-Geheimnis-Region aufrufen. Weitere Informationen finden Sie unter [AWS SDKs](asm_access.md#asm-sdks).

# AWS Secrets Manager Replikation verhindern
<a name="replicate-secrets-permissions"></a>

Da Geheimnisse mit [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html)oder bei ihrer Erstellung repliziert werden können, empfehlen wir Ihnen [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html), Aktionen zu verhindern, die den Parameter enthalten, wenn Sie verhindern möchten, dass Benutzer Geheimnisse replizieren. `AddReplicaRegions` Sie können in Ihren Berechtigungsrichtlinien eine `Condition` Erklärung verwenden, um nur Aktionen zuzulassen, bei denen keine Replikatbereiche hinzugefügt werden. In den folgenden Richtlinienbeispielen finden Sie Hinweise zu Bedingungen, die Sie verwenden können.

**Example Sperren Sie die Replikationsberechtigung**  
Das folgende Richtlinienbeispiel zeigt, wie alle Aktionen zugelassen werden, bei denen keine Replikatbereiche hinzugefügt werden. Dadurch wird verhindert, dass Benutzer Geheimnisse sowohl `ReplicateSecretToRegions` mit als auch replizieren. `CreateSecret`    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:*",
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:AddReplicaRegions": "true"
        }
      }
    }
  ]
}
```

**Example Erlauben Sie die Replikationsberechtigung nur für bestimmte Regionen**  
Die folgende Richtlinie zeigt, wie Sie Folgendes zulassen können:  
+ Geheimnisse ohne Replikation erstellen
+ Erstellen Sie Geheimnisse mit Replikation nur in Regionen in Vereinigte Staaten und Kanada
+ Replizieren Sie Geheimnisse nur in Regionen in Vereinigte Staaten und Kanada   
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:CreateSecret",
        "secretsmanager:ReplicateSecretToRegions"
      ],
      "Resource": "*",
      "Condition": {
        "ForAllValues:StringLike": {
          "secretsmanager:AddReplicaRegions": [
            "us-*",
            "ca-*"
          ]
        }
      }
    }
  ]
}
```

# Fehlerbehebung bei der AWS Secrets Manager Replikation
<a name="replicate-secrets_troubleshoot"></a>

AWS Secrets Manager Die Replikation kann aus verschiedenen Gründen fehlschlagen. Um zu überprüfen, warum ein geheimer Schlüssel nicht repliziert werden konnte, können Sie einen der folgenden Schritte ausführen:
+ Rufen Sie den `DescribeSecret` API-Vorgang auf
+  AWS CloudTrail Ereignisse überprüfen

Wenn die Replikation fehlschlägt:
+ Wenn es keine verwendbaren geheimen Versionen gibt, entfernt Secrets Manager das Geheimnis aus der Replikatregion.
+ Wenn erfolgreich replizierte geheime Versionen vorhanden sind, verbleiben sie in der Replikatregion, bis Sie sie mithilfe der `RemoveRegionsFromReplication` API-Operation explizit entfernen.

In den folgenden Abschnitten werden einige häufige Gründe für Replikationsfehler beschrieben.

## Ein Secret mit demselben Namen ist in der ausgewählten Region bereits vorhanden.
<a name="w2aac17c33c13"></a>

Zur Behebung dieses Problems können Sie das Secret mit dem doppelten Namen in der Replikatregion überschreiben. Wiederholen Sie die Replikation. Wählen Sie im Dialogfeld **Replikation wiederholen** die Option **Überschreiben**.

## Keine Berechtigungen für den KMS-Schlüssel verfügbar, um die Replikation abzuschließen
<a name="w2aac17c33c15"></a>

Secrets Manager entschlüsselt zunächst das Secret, bevor die erneute Verschlüsselung mit dem neuen KMS-Schlüssel in der Replikatregion erfolgt. Dieser Fehler tritt auf, wenn Sie über keine `kms:Decrypt`-Berechtigung für den Verschlüsselungsschlüssel in der primären Region verfügen. Um das replizierte Secret mit einem anderen KMS-Schlüssel als `aws/secretsmanager` zu verschlüsseln, benötigen Sie `kms:GenerateDataKey` und `kms:Encrypt` zum Schlüssel. Siehe [Berechtigungen für den KMS-Schlüssel](security-encryption.md#security-encryption-authz).

## Der KMS-Schlüssel wurde deaktiviert oder wurde nicht gefunden
<a name="w2aac17c33c17"></a>

Wenn der Verschlüsselungsschlüssel in der primären Region deaktiviert oder gelöscht ist, kann Secrets Manager das Secret nicht replizieren. Dieser Fehler kann auch dann auftreten, wenn Sie den Verschlüsselungsschlüssel geändert haben, wenn das Secret [Versionen mit benutzerdefinierter Bezeichnung](whats-in-a-secret.md#term_version) enthält, die mit dem deaktivierten oder gelöschten Verschlüsselungsschlüssel verschlüsselt wurden. Informationen darüber, wie Secrets Manager die Verschlüsselung durchführt, finden Sie unter [Geheime Verschlüsselung und Entschlüsselung in AWS Secrets Manager](security-encryption.md). Um dieses Problem zu umgehen, können Sie die Secret-Versionen neu erstellen, sodass Secrets Manager sie mit dem aktuellen Verschlüsselungsschlüssel verschlüsselt. Weitere Informationen finden Sie unter [Ändern des Verschlüsselungsschlüssels für ein Secret](manage_update-encryption-key.md#manage_update-encryption-key_CLI). Versuchen Sie dann die Replikation erneut.

```
aws secretsmanager put-secret-value \
  --secret-id testDescriptionUpdate \
  --secret-string "SecretValue" \
  --version-stages "MyCustomLabel"
```

## Sie haben die Region, in der die Replikation stattfindet, nicht aktiviert.
<a name="w2aac17c33c19"></a>

Informationen zum Aktivieren einer Region finden Sie unter [Verwalten von AWS -Regionen](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) im *Referenzhandbuch zur AWS -Kontoverwaltung*.