Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Replica AWS Secrets Manager secretos en todas las regiones
Puede replicar sus secretos en varios Regiones de AWS para admitir aplicaciones distribuidas en esas regiones y cumplir con los requisitos de baja latencia y acceso regional. Si lo necesita más adelante, puede [promover un secreto de réplica a secreto independiente](standalone-secret.md) y configurarlo para que se replique de manera autónoma. Secrets Manager replica los datos y metadatos secretos cifrados, tales como etiquetas y políticas de recursos, a las regiones especificadas.
El ARN de un secreto replicado es el mismo que el secreto principal, excepto para la región, por ejemplo:
+ Secreto principal: `arn:aws:secretsmanager:Region1:123456789012:secret:MySecret-a1b2c3`
+ Secreto de réplica: `arn:aws:secretsmanager:Region2:123456789012:secret:MySecret-a1b2c3`
Para obtener información sobre precios para secretos de réplica, consulte [Precios de AWS Secrets Manager](https://aws.amazon.com/secrets-manager/pricing/).
Cuando se almacenan las credenciales de una base de datos de origen que se replica a otras regiones, el secreto contiene información de conexión para la base de datos de origen. Si luego replica el secreto, las réplicas son copias del secreto de origen y contienen la misma información de conexión. Puedes añadir key/value pares adicionales al secreto para obtener información sobre las conexiones regionales.
Si activa la rotación para el secreto principal, Secrets Manager rota ese secreto en la Región principal, y el nuevo valor del secreto se propaga a todos los secretos de réplica asociados. No es necesario administrar la rotación individualmente para todos los secretos de réplica.
Puedes replicar los secretos en todas las AWS regiones habilitadas. Sin embargo, si utilizas Secrets Manager en AWS regiones especiales, como AWS GovCloud (US) las regiones de China, solo podrás configurar los secretos y las réplicas dentro de esas AWS regiones especializadas. No puedes replicar un secreto de AWS las regiones habilitadas en una región especializada ni replicar secretos de una región especializada en una región comercial.
Para poder replicar un secreto a otra región, debe habilitar esa región. Para obtener más información, consulte [Administración de las regiones de AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable).
Es posible utilizar un secreto en varias regiones sin replicarlo llamando al punto de conexión Secrets Manager de la región donde se almacena el secreto. Para obtener una lista de puntos de enlace , consulte [AWS Secrets Manager puntos finales](asm_access.md#endpoints). Si desea utilizar la replicación para mejorar la resiliencia de su carga de trabajo, consulte [Arquitectura de recuperación ante desastres (DR) en AWS la parte I: Estrategias de recuperación en la nube](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-i-strategies-for-recovery-in-the-cloud/).
Secrets Manager genera una entrada de CloudTrail registro al replicar un secreto. Para obtener más información, consulte [AWS Secrets Manager Registra eventos con AWS CloudTrail](monitoring-cloudtrail.md).
**Para replicar un secreto en otras regiones (consola)**
1. Abra la consola de Secrets Manager en [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. En la lista de secretos, elija el secreto.
1. En la página de detalles del secreto, en la pestaña **Replicación**, realice una de las siguientes operaciones:
+ Si el secreto no se ha replicado, elija **Replicate secret** (Replicar secreto).
+ Si el secreto se ha replicado, en la sección **Replicate secret** (Replicar secreto), elija **Add region** (Agregar región).
1. En el cuadro de diálogo **Add replica regions** (Agregar regiones de réplica), haga lo siguiente:
1. En **AWS Region** (Región de ), elija la región en la que desee replicar el secreto.
1. (Opcional) En **Encryption key** (Clave de cifrado), elija una clave KMS con la que cifrar el secreto. La clave debe estar en la región de réplica.
1. (Opcional) Para agregar otra región, elija **Add more regions** (Agregar más regiones).
1. Elija **Replicate** (Replicar).
Vuelve a la página de detalles del secreto. En la sección **Replicate secret** (Replicar secreto), aparece el **Replication status** (Estado de replicación) de cada región.
## AWS CLI
**Example Replicar un secreto a otra región**
En el siguiente ejemplo de [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/replicate-secret-to-regions.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/replicate-secret-to-regions.html) se replica un secreto en eu-west-3. La réplica está cifrada con la clave AWS gestionada**aws/secretsmanager**.
```
aws secretsmanager replicate-secret-to-regions \
--secret-id MyTestSecret \
--add-replica-regions Region=eu-west-3
```
**Example Crear un secreto y replicarlo**
En el siguiente [ ejemplo ](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/create-secret.html), se crea un secreto y se lo replica en eu-west-3. La réplica se cifra con Clave administrada de AWS **aws/secretsmanager**.
```
aws secretsmanager create-secret \
--name MyTestSecret \
--description "My test secret created with the CLI." \
--secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
--add-replica-regions Region=eu-west-3
```
## AWS SDK
Para replicar un secreto, utilice el comando [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html). Para obtener más información, consulte [AWS SDKs](asm_access.md#asm-sdks).
# Promociona un secreto de réplica a un secreto independiente en AWS Secrets Manager
Un secreto de réplica es un secreto que se replica desde un elemento principal en otro. Región de AWS Tiene el mismo valor secreto y los mismos metadatos que el principal, pero se puede cifrar con una clave KMS diferente. Un secreto de réplica no se puede actualizar de manera independiente de su secreto principal, con la excepción de su clave de cifrado. Al promover un secreto de réplica, se lo desvincula del secreto principal, y el secreto de réplica se convierte en un secreto independiente. Los cambios en el secreto principal ya no se replicarán al secreto independiente.
Se puede promover un secreto de réplica a secreto independiente como solución de recuperación de desastres si el secreto principal deja de estar disponible. O puede que quiera promover una réplica a secreto independiente, si desea activar la rotación para la réplica.
Si promueve una réplica, asegúrese de actualizar las aplicaciones correspondientes para que utilicen el secreto independiente.
Secrets Manager genera una entrada de CloudTrail registro cuando promocionas un secreto. Para obtener más información, consulte [AWS Secrets Manager Registra eventos con AWS CloudTrail](monitoring-cloudtrail.md).
**Para promover un secreto de réplica (consola)**
1. Inicie sesión en Secrets Manager en [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Navegue hasta la región de réplica.
1. En la página **Secrets** (Secretos), seleccione el secreto de réplica.
1. En la página de detalles del secreto de réplica, seleccione **Promote to standalone secret** (Promocionar a secreto independiente).
1. En el cuadro de diálogo **Promote replica to standalone secret** (Promocionar la réplica a secreto independiente), ingrese la región y, a continuación, seleccione **Promocionar la réplica**.
## AWS CLI
**Example Promocionar un secreto de réplica a principal**
En el siguiente ejemplo de [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html), se elimina el enlace entre un secreto de réplica y el principal. El secreto de réplica se promociona a secreto principal en la región de réplica. Debe llamar a [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html) desde la región de réplica.
```
aws secretsmanager stop-replication-to-replica \
--secret-id MyTestSecret
```
## AWS SDK
Para promover una réplica a secreto independiente, utilice el comando [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html). Debe llamar a este comando desde la región del secreto de réplica. Para obtener más información, consulte [AWS SDKs](asm_access.md#asm-sdks).
# Impedir AWS Secrets Manager la replicación
Como los secretos se pueden replicar utilizando [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html) o cuando se crean con [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html), si desea impedir que los usuarios repliquen los secretos, le recomendamos que evite las acciones que contengan el parámetro `AddReplicaRegions`. Puede usar una declaración `Condition` en sus políticas de permisos para permitir solo las acciones que no agreguen regiones de réplica. Consulte los siguientes ejemplos de políticas para ver las declaraciones de condiciones que puede utilizar.
**Example Impedir el permiso de replicación**
El siguiente ejemplo de política muestra cómo permitir todas las acciones que no agreguen regiones de réplica. Esto impide que los usuarios repliquen los secretos mediante `ReplicateSecretToRegions` y `CreateSecret`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": "*",
"Condition": {
"Null": {
"secretsmanager:AddReplicaRegions": "true"
}
}
}
]
}
```
**Example Habilite el permiso de replicación solo en regiones específicas**
En la siguiente política, se muestra cómo permitir todas las operaciones siguientes:
+ Crear secretos sin replicación
+ Crear secretos replicándolos solo en regiones de Estados Unidos y Canadá
+ Replicar secretos solo en regiones de Estados Unidos y Canadá
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:ReplicateSecretToRegions"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringLike": {
"secretsmanager:AddReplicaRegions": [
"us-*",
"ca-*"
]
}
}
}
]
}
```
# Solucionar problemas de replicación AWS Secrets Manager
AWS Secrets Manager la replicación puede fallar por varios motivos. Para comprobar la razón por la que un secreto no se ha podido replicar, puede realizar una de las siguientes acciones:
+ Llamar a la operación de la API `DescribeSecret`
+ Revise AWS CloudTrail los eventos
En caso de que la replicación falle:
+ Si no hay versiones de secretos utilizables, Secrets Manager eliminará el secreto de la región de réplica.
+ Si hay versiones secretas que se han replicado correctamente, estas permanecerán en la región de réplica hasta que usted las elimine de forma explícita mediante la operación de API `RemoveRegionsFromReplication`.
En las siguientes secciones, se describen algunos de los motivos más comunes de los errores de la replicación.
## Existe un secreto con el mismo nombre en la región seleccionada
Para solucionar este problema, puede sobrescribir el secreto del nombre duplicado en la región de la réplica. Vuelva a intentar la replicación, y luego, en el cuadro de diálogo **Reintentar replicación**, seleccione **Sobrescribir**.
## No hay permisos disponibles en la clave KMS para completar la replicación
Secrets Manager primero descifra el secreto antes de volver a cifrarlo con la nueva clave de KMS de la región de réplica. Si no tiene permiso `kms:Decrypt` para la clave de cifrado en la región principal, se producirá este error. Para cifrar el secreto replicado con una clave de KMS que no sea `aws/secretsmanager`, necesita `kms:GenerateDataKey` y `kms:Encrypt` para la clave. Consulte [Permisos para la clave KMS](security-encryption.md#security-encryption-authz).
## No se encuentra la clave KMS o se ha deshabilitado
Si la clave de cifrado de la región principal está deshabilitada o eliminada, Secrets Manager no podrá replicar el secreto. Este error puede producirse incluso si ha cambiado la clave de cifrado, cuando el secreto tiene [versiones con etiquetas personalizadas](whats-in-a-secret.md#term_version) que se cifraron con la clave de cifrado deshabilitada o eliminada. Para obtener información sobre cómo realiza el cifrado Secrets Manager, consulte [Cifrado y descifrado secretos en AWS Secrets Manager](security-encryption.md). Para evitar este problema, puede crear nuevamente las versiones de los secretos para que Secrets Manager las cifre con la clave de cifrado actual. Para obtener información, consulte [Cómo cambiar la clave de cifrado de un secreto](manage_update-encryption-key.md#manage_update-encryption-key_CLI). Luego, vuelva a intentar la replicación.
```
aws secretsmanager put-secret-value \
--secret-id testDescriptionUpdate \
--secret-string "SecretValue" \
--version-stages "MyCustomLabel"
```
## No se ha habilitado la región donde se produce la replicación
Para obtener información sobre cómo habilitar una región, consulte [Administración de regiones de AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) en la *Guía de referencia de administración de cuentas de AWS *.