Replicar secretos de AWS Secrets Manager en todas las regiones - AWS Secrets Manager
AWS CLIAWS SDK

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Replicar secretos de AWS Secrets Manager en todas las regiones

Puede replicar los secretos a varias Regiones de AWS para respaldar las aplicaciones repartidas por esas regiones con objeto de cumplir los requisitos de acceso y baja latencia regionales. Si lo necesita más adelante, puede promover un secreto de réplica a secreto independiente y configurarlo para que se replique de manera autónoma. Secrets Manager replica los datos y metadatos secretos cifrados, tales como etiquetas y políticas de recursos, a las regiones especificadas.

El ARN de un secreto replicado es el mismo que el secreto principal, excepto para la región, por ejemplo:

  • Secreto principal: arn:aws:secretsmanager:Region1:123456789012:secret:MySecret-a1b2c3

  • Secreto de réplica: arn:aws:secretsmanager:Region2:123456789012:secret:MySecret-a1b2c3

Para obtener información sobre precios para secretos de réplica, consulte Precios de AWS Secrets Manager.

Cuando se almacenan las credenciales de una base de datos de origen que se replica a otras regiones, el secreto contiene información de conexión para la base de datos de origen. Si luego replica el secreto, las réplicas son copias del secreto de origen y contienen la misma información de conexión. Puede agregar pares clave/valor adicionales al secreto para obtener información de conexión regional.

Si activa la rotación para el secreto principal, Secrets Manager rota ese secreto en la Región principal, y el nuevo valor del secreto se propaga a todos los secretos de réplica asociados. No es necesario administrar la rotación individualmente para todos los secretos de réplica.

Puede replicar secretos en todas sus regiones de AWS habilitadas. Sin embargo, si utiliza Secrets Manager en regiones de AWS especiales como AWS GovCloud (US) o regiones de China, sólo puede configurar secretos y las réplicas dentro de estas regiones de AWS. No se puede replicar un secreto de las regiones de AWS habilitadas a una región especializada, ni replicar secretos de una región especializada a una región comercial.

Para poder replicar un secreto a otra región, debe habilitar esa región. Para obtener más información, consulte Administración de las regiones de AWS.

Es posible utilizar un secreto en varias regiones sin replicarlo llamando al punto de conexión Secrets Manager de la región donde se almacena el secreto. Para obtener una lista de puntos de enlace , consulte AWS Secrets Manager puntos finales. Para usar la replicación a fin de mejorar la resiliencia de su carga de trabajo, consulte Arquitectura de recuperación ante desastres (DR) en AWS, Parte I: Estrategias para la recuperación en la nube.

Secrets Manager genera una entrada de registro de CloudTrail cuando replica un secreto. Para obtener más información, consulte Registro de eventos de AWS Secrets Manager con AWS CloudTrail.

Para replicar un secreto en otras regiones (consola)

  1. Abra la consola de Secrets Manager en https://console.aws.amazon.com/secretsmanager/.

  2. En la lista de secretos, elija el secreto.

  3. En la página de detalles del secreto, en la pestaña Replicación, realice una de las siguientes operaciones:

    • Si el secreto no se ha replicado, elija Replicate secret (Replicar secreto).

    • Si el secreto se ha replicado, en la sección Replicate secret (Replicar secreto), elija Add region (Agregar región).

  4. En el cuadro de diálogo Add replica regions (Agregar regiones de réplica), haga lo siguiente:

    1. En AWS Region (Región de ), elija la región en la que desee replicar el secreto.

    2. (Opcional) En Encryption key (Clave de cifrado), elija una clave KMS con la que cifrar el secreto. La clave debe estar en la región de réplica.

    3. (Opcional) Para agregar otra región, elija Add more regions (Agregar más regiones).

    4. Elija Replicate (Replicar).

    Vuelve a la página de detalles del secreto. En la sección Replicate secret (Replicar secreto), aparece el Replication status (Estado de replicación) de cada región.

AWS CLI

ejemplo Replicar un secreto a otra región

En el siguiente ejemplo de replicate-secret-to-regions se replica un secreto en eu-west-3. La réplica se cifra con la clave administrada de AWS aws/secretsmanager.

aws secretsmanager replicate-secret-to-regions \
        --secret-id MyTestSecret \
        --add-replica-regions Region=eu-west-3
ejemplo Crear un secreto y replicarlo

En el siguiente ejemplo , se crea un secreto y se lo replica en eu-west-3. La réplica se cifra con la clave administrada de AWS aws/secretsmanager.

aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
    --add-replica-regions Region=eu-west-3

AWS SDK

Para replicar un secreto, utilice el comando ReplicateSecretToRegions. Para obtener más información, consulte AWS SDKs.