Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Replikasi AWS Secrets Manager rahasia di seluruh Wilayah
<a name="replicate-secrets"></a>

Anda dapat mereplikasi rahasia Anda dalam beberapa Wilayah AWS untuk mendukung aplikasi yang tersebar di seluruh Wilayah tersebut untuk memenuhi akses Regional dan persyaratan latensi rendah. Jika nanti perlu, Anda dapat [mempromosikan rahasia replika ke standalone](standalone-secret.md) dan kemudian mengaturnya untuk replikasi secara independen. Secrets Manager mereplikasi data rahasia terenkripsi dan metadata seperti tag dan kebijakan sumber daya di seluruh Wilayah tertentu. 

ARN untuk rahasia yang direplikasi sama dengan rahasia utama kecuali untuk Wilayah, misalnya:
+ Rahasia utama: `arn:aws:secretsmanager:Region1:123456789012:secret:MySecret-a1b2c3`
+ Rahasia replika: `arn:aws:secretsmanager:Region2:123456789012:secret:MySecret-a1b2c3`

Untuk informasi harga untuk rahasia replika, lihat [AWS Secrets Manager Harga](https://aws.amazon.com/secrets-manager/pricing/).

Ketika Anda menyimpan kredensi database untuk database sumber yang direplikasi ke Wilayah lain, rahasia berisi informasi koneksi untuk database sumber. Jika Anda kemudian mereplikasi rahasia, replika adalah salinan dari rahasia sumber dan berisi informasi koneksi yang sama. Anda dapat menambahkan key/value pasangan tambahan ke rahasia untuk informasi koneksi regional.

Jika Anda mengaktifkan rotasi untuk rahasia utama Anda, Secrets Manager memutar rahasia di Wilayah utama, dan nilai rahasia baru menyebar ke semua rahasia replika terkait. Anda tidak perlu mengelola rotasi satu per satu untuk semua rahasia replika. 

Anda dapat mereplikasi rahasia di semua AWS Wilayah yang diaktifkan. Namun, jika Anda menggunakan Secrets Manager di AWS Wilayah khusus seperti AWS GovCloud (US) atau Wilayah Tiongkok, Anda hanya dapat mengonfigurasi rahasia dan replika di dalam Wilayah AWS khusus ini. Anda tidak dapat mereplikasi rahasia di AWS Wilayah yang diaktifkan ke Wilayah khusus atau mereplikasi rahasia dari wilayah khusus ke wilayah komersial. 

Sebelum Anda dapat mereplikasi rahasia ke Wilayah lain, Anda harus mengaktifkan Wilayah itu. Untuk informasi selengkapnya, lihat [Mengelola AWS Wilayah.](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable)

Dimungkinkan untuk menggunakan rahasia di beberapa Wilayah tanpa mereplikasi dengan memanggil titik akhir Secrets Manager di Wilayah tempat rahasia disimpan. Untuk daftar titik akhir, lihat[AWS Secrets Manager titik akhir](asm_access.md#endpoints). Untuk menggunakan replikasi untuk meningkatkan ketahanan beban kerja Anda, lihat [Arsitektur Pemulihan Bencana (DR) di AWS, Bagian I: Strategi untuk Pemulihan](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-i-strategies-for-recovery-in-the-cloud/) di Cloud.

Secrets Manager menghasilkan entri CloudTrail log saat Anda mereplikasi rahasia. Untuk informasi selengkapnya, lihat [Log AWS Secrets Manager peristiwa dengan AWS CloudTrail](monitoring-cloudtrail.md).

**Untuk mereplikasi rahasia ke Wilayah lain (konsol)**

1. Buka konsol Secrets Manager di [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Dari daftar rahasia, pilih rahasia Anda.

1. Pada halaman detail rahasia, pada tab **Replikasi**, lakukan salah satu hal berikut:
   + Jika rahasia Anda tidak direplikasi, pilih **Replikasi** rahasia.
   + Jika rahasia Anda direplikasi, di bagian **Rahasia Replikasi**, pilih **Tambah** Wilayah.

1. Dalam kotak dialog **Tambahkan wilayah replika**, lakukan hal berikut:

   1. Untuk **AWS Wilayah**, pilih Wilayah yang ingin Anda tiru rahasianya.

   1. (Opsional) Untuk **kunci Enkripsi**, pilih kunci KMS untuk mengenkripsi rahasia. Kuncinya harus ada di Region replika.

   1. (Opsional) Untuk menambahkan Wilayah lain, pilih **Tambahkan lebih banyak wilayah**.

   1. Pilih **Replikasi.**

   Anda kembali ke halaman detail rahasia. Di bagian **rahasia Replikasi**, **status Replikasi** ditampilkan untuk setiap Wilayah. 

## AWS CLI
<a name="replicate-secrets_CLI"></a>

**Example Replikasi rahasia ke wilayah lain**  
[https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/replicate-secret-to-regions.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/replicate-secret-to-regions.html)Contoh berikut mereplikasi rahasia eu-west-3. Replika dienkripsi dengan kunci yang dikelola. AWS **aws/secretsmanager**  

```
aws secretsmanager replicate-secret-to-regions \
        --secret-id MyTestSecret \
        --add-replica-regions Region=eu-west-3
```

**Example Buat rahasia dan tiru**  
[Contoh](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/create-secret.html) berikut membuat rahasia dan mereplikasi ke eu-west-3. Replika dienkripsi dengan file. Kunci yang dikelola AWS **aws/secretsmanager**  

```
aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
    --add-replica-regions Region=eu-west-3
```

## AWS SDK
<a name="replicate-secrets_SDK"></a>

Untuk mereplikasi rahasia, gunakan [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html)perintah. Lihat informasi yang lebih lengkap di [AWS SDKs](asm_access.md#asm-sdks).

# Promosikan rahasia replika ke rahasia mandiri di AWS Secrets Manager
<a name="standalone-secret"></a>

Rahasia replika adalah rahasia yang direplikasi dari primer di yang lain. Wilayah AWS Ini memiliki nilai rahasia dan metadata yang sama dengan yang utama, tetapi dapat dienkripsi dengan kunci KMS yang berbeda. Rahasia replika tidak dapat diperbarui secara independen dari rahasia utamanya, kecuali untuk kunci enkripsi. Mempromosikan rahasia replika memutus rahasia replika dari rahasia utama dan membuat rahasia replika rahasia mandiri. Perubahan pada rahasia utama tidak akan mereplikasi ke rahasia mandiri. 

Anda mungkin ingin mempromosikan rahasia replika ke rahasia mandiri sebagai solusi pemulihan bencana jika rahasia utama menjadi tidak tersedia. Atau Anda mungkin ingin mempromosikan replika ke rahasia mandiri jika Anda ingin mengaktifkan rotasi untuk replika.

Jika Anda mempromosikan replika, pastikan untuk memperbarui aplikasi yang sesuai untuk menggunakan rahasia mandiri. 

Secrets Manager menghasilkan entri CloudTrail log saat Anda mempromosikan rahasia. Untuk informasi selengkapnya, lihat [Log AWS Secrets Manager peristiwa dengan AWS CloudTrail](monitoring-cloudtrail.md).

**Untuk mempromosikan rahasia replika (konsol)**

1. Masuk ke Secrets Manager di [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/). 

1. Arahkan ke wilayah replika. 

1. Pada halaman **Rahasia**, pilih rahasia replika.

1. Pada halaman detail rahasia replika, pilih **Promosikan ke rahasia mandiri**.

1. Di kotak dialog **Promosikan replika ke rahasia mandiri**, masukkan Wilayah dan kemudian pilih **Promosikan** replika.

## AWS CLI
<a name="standalone-secret-cli"></a>

**Example Promosikan rahasia replika ke primer**  
[https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html)Contoh berikut menghapus link antara rahasia replika ke primer. Rahasia replika dipromosikan menjadi rahasia utama di wilayah replika. Anda harus menelepon [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html)dari dalam wilayah replika.  

```
aws secretsmanager stop-replication-to-replica \
    --secret-id MyTestSecret
```

## AWS SDK
<a name="standalone-secret-sdk"></a>

Untuk mempromosikan replika ke rahasia mandiri, gunakan perintah. [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html) Anda harus memanggil perintah ini dari replika Region rahasia. Lihat informasi yang lebih lengkap di [AWS SDKs](asm_access.md#asm-sdks).

# Mencegah AWS Secrets Manager replikasi
<a name="replicate-secrets-permissions"></a>

Karena rahasia dapat direplikasi menggunakan [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html)atau ketika mereka dibuat menggunakan [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html), jika Anda ingin mencegah pengguna mereplikasi rahasia, kami sarankan Anda mencegah tindakan yang berisi parameter. `AddReplicaRegions` Anda dapat menggunakan `Condition` pernyataan dalam kebijakan izin untuk hanya mengizinkan tindakan yang tidak menambahkan wilayah replika. Lihat contoh kebijakan berikut untuk pernyataan Kondisi yang dapat Anda gunakan.

**Example Mencegah izin replikasi**  
Contoh kebijakan berikut menunjukkan cara mengizinkan semua tindakan yang tidak menambahkan wilayah replika. Ini mencegah pengguna mereplikasi rahasia melalui keduanya `ReplicateSecretToRegions` dan`CreateSecret`.    
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "secretsmanager:*",
      "Resource": "*",
      "Condition": {
        "Null": {
          "secretsmanager:AddReplicaRegions": "true"
        }
      }
    }
  ]
}
```

**Example Izinkan izin replikasi hanya untuk Wilayah tertentu**  
Kebijakan berikut menunjukkan cara mengizinkan semua hal berikut:  
+ Buat rahasia tanpa replikasi
+ Buat rahasia dengan replikasi ke Wilayah hanya di Amerika Serikat dan Kanada
+ Replikasi rahasia ke Wilayah hanya di Amerika Serikat dan Kanada   
****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "secretsmanager:CreateSecret",
        "secretsmanager:ReplicateSecretToRegions"
      ],
      "Resource": "*",
      "Condition": {
        "ForAllValues:StringLike": {
          "secretsmanager:AddReplicaRegions": [
            "us-*",
            "ca-*"
          ]
        }
      }
    }
  ]
}
```

# Memecahkan masalah replikasi AWS Secrets Manager
<a name="replicate-secrets_troubleshoot"></a>

AWS Secrets Manager replikasi mungkin gagal karena berbagai alasan. Untuk memeriksa mengapa sebuah rahasia gagal direplikasi, Anda dapat melakukan salah satu hal berikut:
+ Panggil operasi `DescribeSecret` API
+ Tinjau AWS CloudTrail acara

Saat replikasi gagal:
+ Jika tidak ada versi rahasia yang dapat digunakan, Secrets Manager menghapus rahasia dari Region replika.
+ Jika ada versi rahasia yang berhasil direplikasi, versi tersebut tetap berada di Region replika hingga Anda menghapusnya secara eksplisit menggunakan operasi API. `RemoveRegionsFromReplication`

Bagian berikut menjelaskan beberapa alasan umum kegagalan replikasi.

## Rahasia dengan nama yang sama ada di Wilayah yang dipilih
<a name="w2aac17c33c13"></a>

Untuk mengatasi masalah ini, Anda dapat menimpa rahasia nama duplikat di Region replika. **Coba lagi replikasi, dan kemudian di kotak dialog **Retry replikasi**, pilih Overwrite.**

## Tidak ada izin yang tersedia pada kunci KMS untuk menyelesaikan replikasi
<a name="w2aac17c33c15"></a>

Secrets Manager pertama kali mendekripsi rahasia sebelum mengenkripsi ulang dengan kunci KMS baru di Region replika. Jika Anda tidak memiliki `kms:Decrypt` izin untuk kunci enkripsi di Wilayah utama, Anda akan mengalami kesalahan ini. Untuk mengenkripsi rahasia yang direplikasi dengan kunci KMS selain`aws/secretsmanager`, Anda perlu `kms:GenerateDataKey` dan `kms:Encrypt` ke kunci. Lihat [Izin untuk kunci KMS](security-encryption.md#security-encryption-authz).

## Kunci KMS dinonaktifkan atau tidak ditemukan
<a name="w2aac17c33c17"></a>

Jika kunci enkripsi di Wilayah utama dinonaktifkan atau dihapus, Secrets Manager tidak dapat mereplikasi rahasia tersebut. Kesalahan ini dapat terjadi bahkan jika Anda telah mengubah kunci enkripsi, jika rahasia memiliki [versi berlabel khusus](whats-in-a-secret.md#term_version) yang dienkripsi dengan kunci enkripsi yang dinonaktifkan atau dihapus. Untuk informasi tentang cara Secrets Manager melakukan enkripsi, lihat[Enkripsi rahasia dan dekripsi di AWS Secrets Manager](security-encryption.md). Untuk mengatasi masalah ini, Anda dapat membuat ulang versi rahasia sehingga Secrets Manager mengenkripsi mereka dengan kunci enkripsi saat ini. Untuk informasi selengkapnya, lihat [Mengubah kunci enkripsi untuk rahasia](manage_update-encryption-key.md#manage_update-encryption-key_CLI). Kemudian coba lagi replikasi.

```
aws secretsmanager put-secret-value \
  --secret-id testDescriptionUpdate \
  --secret-string "SecretValue" \
  --version-stages "MyCustomLabel"
```

## Anda belum mengaktifkan Wilayah tempat replikasi terjadi
<a name="w2aac17c33c19"></a>

Untuk informasi tentang cara mengaktifkan Wilayah, lihat [Mengelola AWS Wilayah.](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) dalam *Panduan Referensi Manajemen AWS Akun*.