Eliminación de un secreto de AWS Secrets Manager - AWS Secrets Manager
AWS CLIAWS SDK

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Eliminación de un secreto de AWS Secrets Manager

Dada la naturaleza crítica de los secretos, AWS Secrets Manager hace, de forma intencionada, que la eliminación de un secreto sea difícil. Secrets Manager no elimina los secretos inmediatamente. En su lugar, Secrets Manager hace que dejen de estar accesibles de inmediato y se programan para su eliminación tras un periodo de recuperación de un mínimo de siete días. Hasta que finaliza el periodo de recuperación, puede recuperar un secreto que ha eliminado anteriormente. No hay ningún cargo por los secretos que ha marcado para su eliminación.

No se puede eliminar un secreto principal si se ha replicado a otras regiones. Elimine primero las réplicas, y luego elimine el secreto principal. Cuando se elimina una réplica, la eliminación se realiza inmediatamente.

No puede eliminar directamente una versión de un secreto. En su lugar, elimine todas las etiquetas provisionales de la versión usando la AWS CLI o los SDK de AWS. Esto marca la versión como obsoleta y permite que Secrets Manager elimine automáticamente la versión en segundo plano.

Si no sabe si una aplicación sigue usando un secreto, puede crear una alarma de Amazon CloudWatch que le alerte de cualquier intento de acceder a un secreto durante el periodo de recuperación. Para obtener más información, consulte Monitoreo cuando se accede a los secretos de AWS Secrets Manager programados para su eliminación.

Para eliminar un secreto, debe tener los permisos secretsmanager:ListSecrets y secretsmanager:DeleteSecret.

Secrets Manager genera una entrada de registro de CloudTrail cuando elimina un secreto. Para obtener más información, consulte Registro de eventos de AWS Secrets Manager con AWS CloudTrail.

Para eliminar un secreto (consola)

  1. Abra la consola de Secrets Manager en https://console.aws.amazon.com/secretsmanager/.

  2. En la lista de secretos, elija el secreto que desea eliminar.

  3. En la sección Secrets details (Detalles de secreto), elija Actions (Acciones) y, a continuación, elija Delete secret (Editar descripción).

  4. En el cuadro de diálogo Disable secret and schedule deletion (Desactivar el secreto y programar la eliminación), en Waiting period (Periodo de espera), ingrese la cantidad de días que debe esperar antes de que la eliminación sea permanente. Secrets Manager adjunta un campo denominado DeletionDate y lo define en la fecha y hora actual además de la cantidad de días especificado en la ventana de recuperación.

  5. Elija Schedule deletion.

Ver los secretos eliminados

  1. Abra la consola de Secrets Manager en https://console.aws.amazon.com/secretsmanager/.

  2. En la página Secrets (Secretos) elija Preferences (Preferencias) ( Gear icon representing settings or configuration options. ).

  3. En el cuadro de diálogo de Preferencias, seleccione Ver secretos programados para su eliminación y luego elija Guardar.

Para eliminar un secreto de réplica

  1. Abra la consola de Secrets Manager en https://console.aws.amazon.com/secretsmanager/.

  2. Elija el secreto principal.

  3. En la sección Replicate Secret (Replicar secreto), elija el secreto de réplica.

  4. En el menú Actions (Acciones), elija Delete Replica (Eliminar la réplica).

AWS CLI

ejemplo Eliminar un secreto

En el siguiente ejemplo de delete-secret se elimina un secreto. Se puede recuperar el secreto con restore-secret hasta la fecha y hora del campo de respuesta DeletionDate. Para eliminar un secreto que se replica en otras regiones, primero elimine sus réplicas con remove-regions-from-replication y, a continuación, llame a delete-secret.

aws secretsmanager delete-secret \
    --secret-id MyTestSecret \
    --recovery-window-in-days 7
ejemplo Eliminar un secreto inmediatamente

En el siguiente ejemplo de delete-secret se elimina un secreto inmediatamente sin periodo de recuperación. Este secreto no se puede recuperar.

aws secretsmanager delete-secret \
    --secret-id MyTestSecret \
    --force-delete-without-recovery
ejemplo Eliminación de una réplica de secreto

En el siguiente ejemplo de remove-regions-from-replication se elimina un secreto de réplica de eu-west-3. Para eliminar un secreto principal que se replica en otras regiones, primero elimine las réplicas y, a continuación, llame a delete-secret.

aws secretsmanager remove-regions-from-replication \
    --secret-id MyTestSecret \
    --remove-replica-regions eu-west-3

AWS SDK

Para eliminar un secreto, utilice el comando DeleteSecret. Para eliminar una versión de un secreto, use el comando UpdateSecretVersionStage. Para eliminar una réplica, utilice el comando StopReplicationToReplica. Para obtener más información, consulte AWS SDKs.