

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Otentikasi dengan AWS Secrets Manager Firehose Data Amazon
<a name="using-secrets-manager"></a>

Amazon Data Firehose terintegrasi AWS Secrets Manager untuk menyediakan akses aman ke rahasia Anda dan mengotomatiskan rotasi kredensi. Integrasi ini memungkinkan Firehose untuk mengambil rahasia dari Secrets Manager saat runtime untuk terhubung ke tujuan streaming yang disebutkan sebelumnya dan mengirimkan aliran data Anda. Dengan ini, rahasia Anda tidak terlihat dalam teks biasa selama alur kerja pembuatan aliran baik dalam Konsol Manajemen AWS atau parameter API. Ini memberikan praktik yang aman untuk mengelola rahasia Anda dan membebaskan Anda dari aktivitas manajemen kredensitas yang kompleks seperti menyiapkan fungsi Lambda khusus untuk mengelola rotasi kata sandi. 

Untuk informasi selengkapnya, silakan lihat [Panduan Pengguna AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide).

**Topics**
+ [Memahami rahasia](secrets-manager-whats-secret.md)
+ [Buat rahasia](secrets-manager-create.md)
+ [Gunakan rahasianya](secrets-manager-how.md)
+ [Putar rahasianya](secrets-manager-rotate.md)

# Memahami rahasia
<a name="secrets-manager-whats-secret"></a>

Rahasia dapat berupa kata sandi, seperangkat kredensil seperti nama pengguna dan kata sandi, OAuth token, atau informasi rahasia lainnya yang Anda simpan dalam bentuk terenkripsi di Secrets Manager. 

Untuk setiap tujuan, Anda harus menentukan pasangan nilai kunci rahasia dalam format JSON yang benar seperti yang ditunjukkan pada bagian berikut. Amazon Data Firehose akan gagal terhubung ke tujuan Anda jika rahasia Anda tidak memiliki format JSON yang benar sesuai tujuan. 

**Format rahasia untuk database seperti MySQL dan PostgreSQL**

```
{
    "username":  "<username>",
    "password":  "<password>"
}
```

**Format rahasia untuk cluster Amazon Redshift Provisioned dan grup kerja Amazon Redshift Tanpa Server**

```
{
    "username":  "<username>",
    "password":  "<password>"
}
```

**Format rahasia untuk Splunk**

```
{
    "hec_token":  "<hec token>"
}
```

**Format rahasia untuk Snowflake**

```
{
    "user":  "<snowflake-username>",
    "private_key":  "<snowflake-private-key>", // without the beginning and ending private key, remove all spaces and newlines
    "key_passphrase":  "<snowflake-private-key-passphrase>" // optional
}
```

**Format rahasia untuk titik akhir HTTP, Coralogix, Datadog, Dynatrace, Elastic, Honeycomb,, Logz.io, MongoDB Cloud, LogicMonitor dan New Relic**

```
{
    "api_key":  "<apikey>"
}
```

# Buat rahasia
<a name="secrets-manager-create"></a>

Untuk membuat rahasia, ikuti langkah-langkah di [Buat AWS Secrets Manager rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html) di *Panduan AWS Secrets Manager Pengguna*.

# Gunakan rahasianya
<a name="secrets-manager-how"></a>

Kami menyarankan Anda menggunakan AWS Secrets Manager untuk menyimpan kredensil atau kunci Anda untuk terhubung ke tujuan streaming seperti Amazon Redshift, titik akhir HTTP, Snowflake, Splunk, Coralogix, Datadog, Dynatrace, Elastic, Honeycomb,, Logz.io, MongoDB Cloud, dan New Relic. LogicMonitor 

Anda dapat mengonfigurasi autentikasi dengan Secrets Manager untuk tujuan ini melalui AWS Management Console pada saat pembuatan aliran Firehose. Untuk informasi selengkapnya, lihat [Konfigurasikan pengaturan tujuan](create-destination.md). Atau, Anda juga dapat menggunakan operasi [UpdateDestination](https://docs.aws.amazon.com/firehose/latest/APIReference/API_UpdateDestination.html)API [CreateDeliveryStream](https://docs.aws.amazon.com/firehose/latest/APIReference/API_CreateDeliveryStream.html)dan untuk mengonfigurasi otentikasi dengan Secrets Manager.

Firehose menyimpan rahasia dengan enkripsi dan menggunakannya untuk setiap koneksi ke tujuan. Ini menyegarkan cache setiap 10 menit untuk memastikan bahwa kredenal terbaru digunakan. 

Anda dapat memilih untuk mematikan kemampuan mengambil rahasia dari Secrets Manager kapan saja selama siklus hidup streaming. Jika Anda tidak ingin menggunakan Secrets Manager untuk mengambil rahasia, Anda dapat menggunakan username/password atau kunci API sebagai gantinya.

**catatan**  
Meskipun, tidak ada biaya tambahan untuk fitur ini di Firehose, Anda ditagih untuk akses dan pemeliharaan Secrets Manager. Untuk informasi selengkapnya, lihat halaman harga [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/pricing/).

## Berikan akses ke Firehose untuk mengambil rahasia
<a name="secrets-manager-permission"></a>

Agar Firehose dapat mengambil rahasia AWS Secrets Manager, Anda harus memberikan Firehose izin yang diperlukan untuk mengakses rahasia dan kunci yang mengenkripsi rahasia Anda. 

Saat menggunakan AWS Secrets Manager untuk menyimpan dan mengambil rahasia, ada beberapa opsi konfigurasi yang berbeda tergantung di mana rahasia disimpan dan bagaimana itu dienkripsi. 
+ Jika rahasia disimpan di AWS akun yang sama dengan peran IAM Anda dan dienkripsi dengan kunci AWS terkelola default (`aws/secretsmanager`), peran IAM yang diasumsikan Firehose hanya memerlukan izin pada rahasia. `secretsmanager:GetSecretValue` 

  ```
  // secret role policy
  {
      "Version": "2012-10-17", 		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": "secretsmanager:GetSecretValue",
              "Resource": "Secret ARN"
          }
      ]
  }
  ```

  Untuk informasi selengkapnya tentang kebijakan IAM, lihat [contoh kebijakan izin](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples.html) untuk. AWS Secrets Manager
+ Jika rahasia disimpan di akun yang sama dengan peran tetapi dienkripsi dengan [kunci terkelola pelanggan](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) (CMK), peran tersebut membutuhkan keduanya `secretsmanager:GetSecretValue` dan izin. `kms:Decrypt` Kebijakan CMK juga perlu memungkinkan peran IAM untuk melakukan. `kms:Decrypt` 
+ Jika rahasia disimpan di AWS akun yang berbeda dari peran Anda, dan dienkripsi dengan kunci AWS terkelola default, konfigurasi ini tidak dimungkinkan karena Secrets Manager tidak mengizinkan akses lintas akun ketika rahasia dienkripsi dengan kunci terkelola. AWS 
+ Jika rahasia disimpan di akun yang berbeda dan dienkripsi dengan CMK, peran IAM memerlukan `secretsmanager:GetSecretValue` izin pada rahasia dan `kms:Decrypt` izin pada CMK. Kebijakan sumber daya rahasia dan kebijakan CMK di akun lain juga perlu mengizinkan peran IAM izin yang diperlukan. Untuk informasi selengkapnya, lihat [Akses lintas akun](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html).

# Putar rahasianya
<a name="secrets-manager-rotate"></a>

*Rotasi* adalah saat Anda memperbarui rahasia secara berkala. Anda dapat mengonfigurasi AWS Secrets Manager untuk secara otomatis memutar rahasia untuk Anda pada jadwal yang Anda tentukan. Dengan cara ini, Anda dapat mengganti rahasia jangka panjang dengan rahasia jangka pendek. Ini membantu mengurangi risiko kompromi. Untuk informasi selengkapnya, lihat [Memutar AWS Secrets Manager rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) di *Panduan AWS Secrets Manager Pengguna*.