¿Qué hay en un secreto de Secrets Manager? - AWS Secrets Manager
MetadatosVersiones secretas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

¿Qué hay en un secreto de Secrets Manager?

En Secrets Manager, un secreto comprende la información secreta, el valor secreto, además de los metadatos sobre ese secreto. Un valor secreto puede ser de tipo cadena o binario.

Para almacenar varios valores de cadena en un secreto, le recomendamos que utilice una cadena de texto JSON con pares clave-valor, por ejemplo:

{
  "host"       : "ProdServer-01.databases.example.com",
  "port"       : "8888",
  "username"   : "administrator",
  "password"   : "EXAMPLE-PASSWORD",
  "dbname"     : "MyDatabase",
  "engine"     : "mysql"
}

En el caso de los secretos de las bases de datos, si quieres activar la rotación automática, el secreto debe contener la información de conexión de la base de datos en la estructura JSON correcta. Para obtener más información, consulte Estructura JSON de AWS Secrets Manager secretos .

Metadatos

Entre los metadatos de un secreto se encuentran los siguientes:

  • Un Nombre de recurso de Amazon (ARN) con el siguiente formato:

    arn:aws:secretsmanager:<Region>:<AccountId>:secret:SecretName-6RandomCharacters

    Secrets Manager incluye seis caracteres de asignación al azar al final del nombre del secreto para garantizar que el ARN del secreto sea único. Si se elimina el secreto original y, a continuación, se crea un secreto nuevo con el mismo nombre, ambos tendrán ARN diferentes debido a estos caracteres. Los usuarios con acceso al secreto anterior no tienen acceso automático al secreto nuevo porque los ARN son diferentes.

  • El nombre del secreto, una descripción, una política de recursos y las etiquetas.

  • El ARN de una clave de cifrado, AWS KMS key que Secrets Manager utiliza para cifrar y descifrar el valor secreto. Secrets Manager almacena texto secreto en un formato cifrado y cifra el secreto en tránsito. Consulte Cifrado y descifrado secretos en AWS Secrets Manager.

  • Información sobre cómo rotar el secreto, si configura la rotación. Consulte Rota AWS Secrets Manager los secretos.

Secrets Manager utiliza políticas de permisos de IAM para garantizar que solo los usuarios autorizados puedan acceder a un secreto o modificarlo. Consulte Autenticación y control de acceso para AWS Secrets Manager.

Un secreto tiene versiones que contienen copias del valor secreto cifrado. Cuando se cambia el valor secreto, o el secreto es rotado, el Secrets Manager crea una nueva versión. Consulte Versiones secretas.

Puedes usar un secreto en varios si Regiones de AWS lo replicas. Cuando se replica un secreto, se crea una copia del secreto original o secreto principal llamada secreto réplica. El secreto réplica permanece vinculado al secreto principal. Consulte Replica AWS Secrets Manager secretos en todas las regiones.

Consulte Crea y gestiona secretos con AWS Secrets Manager.

Versiones secretas

Un secreto tiene versiones que contienen copias del valor secreto cifrado. Cuando se cambia el valor secreto, o el secreto es rotado, el Secrets Manager crea una nueva versión.

Secrets Manager no almacena ningún historial lineal de secretos junto con las versiones. En cambio, realiza un seguimiento de tres versiones específicas etiquetándolas:

  • Versión actual: AWSCURRENT

  • Versión anterior: AWSPREVIOUS

  • Versión pendiente (durante la rotación): AWSPENDING

Un secreto siempre tiene una versión con la etiqueta AWSCURRENT y Secrets Manager devuelve esa versión de forma predeterminada cuando se recupera el valor del secreto.

También puedes etiquetar las versiones con tus propias etiquetas llamando update-secret-version-stageal AWS CLI. Puede adjuntar hasta 20 etiquetas a versiones en un secreto. Dos versiones de un secreto no puede tener la misma etiqueta provisional. Las versiones pueden tener varias etiquetas.

Secrets Manager nunca elimina las versiones etiquetadas, pero las versiones sin etiquetar se consideran obsoletas. Secrets Manager elimina las versiones obsoletas cuando hay más de 100. Secrets Manager no elimina versiones creadas hace menos de 24 horas.

En la siguiente figura se muestra un secreto que contiene versiones AWS etiquetadas y versiones etiquetadas por el cliente. Las versiones sin etiquetas se consideran obsoletas y Secrets Manager las eliminará en algún momento.

A secret that contains multiple secret versions, some with labels such as AWSCURRENT or MyLabelA, and some without labels.