

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Effettua l'autenticazione con Gestione dei segreti AWS Amazon Data Firehose
<a name="using-secrets-manager"></a>

Amazon Data Firehose si integra con Gestione dei segreti AWS per fornire un accesso sicuro ai tuoi segreti e automatizzare la rotazione delle credenziali. Questa integrazione consente a Firehose di recuperare un segreto da Secrets Manager in fase di esecuzione per connettersi alle destinazioni di streaming menzionate in precedenza e distribuire i flussi di dati. In questo modo, i tuoi segreti non sono visibili in testo semplice durante il flusso di lavoro di creazione di stream Console di gestione AWS né nei parametri dell'API. Fornisce una pratica sicura per gestire i tuoi segreti e ti solleva da complesse attività di gestione delle credenziali, come la configurazione di funzioni Lambda personalizzate per gestire le rotazioni delle password. 

Per ulteriori informazioni, consulta la [Guida per l'utente Gestione dei segreti AWS](https://docs.aws.amazon.com/secretsmanager/latest/userguide).

**Topics**
+ [Comprendi i segreti](secrets-manager-whats-secret.md)
+ [Creazione di un segreto](secrets-manager-create.md)
+ [Usa il segreto](secrets-manager-how.md)
+ [Ruota il segreto](secrets-manager-rotate.md)

# Comprendi i segreti
<a name="secrets-manager-whats-secret"></a>

Un segreto può essere una password, un set di credenziali come nome utente e password, un OAuth token o altre informazioni segrete archiviate in forma crittografata in Secrets Manager. 

Per ogni destinazione, è necessario specificare la coppia chiave-valore segreta nel formato JSON corretto, come illustrato nella sezione seguente. Amazon Data Firehose non riuscirà a connettersi alla tua destinazione se il tuo segreto non ha il formato JSON corretto per la destinazione. 

**Formato segreto per database come MySQL e PostgreSQL**

```
{
    "username":  "<username>",
    "password":  "<password>"
}
```

**Formato segreto per il cluster Amazon Redshift Provisioned e il gruppo di lavoro Amazon Redshift Serverless**

```
{
    "username":  "<username>",
    "password":  "<password>"
}
```

**Formato segreto per Splunk**

```
{
    "hec_token":  "<hec token>"
}
```

**Formato segreto per Snowflake**

```
{
    "user":  "<snowflake-username>",
    "private_key":  "<snowflake-private-key>", // without the beginning and ending private key, remove all spaces and newlines
    "key_passphrase":  "<snowflake-private-key-passphrase>" // optional
}
```

**Formato segreto per endpoint HTTP, Coralogix, Datadog, Dynatrace, Elastic, Honeycomb, Logz.io, MongoDB Cloud e New Relic LogicMonitor**

```
{
    "api_key":  "<apikey>"
}
```

# Creazione di un segreto
<a name="secrets-manager-create"></a>

Per creare un segreto, segui i passaggi in [Creare un Gestione dei segreti AWS segreto nella Guida](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html) per l'*Gestione dei segreti AWS utente*.

# Usa il segreto
<a name="secrets-manager-how"></a>

Ti consigliamo di Gestione dei segreti AWS utilizzarlo per archiviare le credenziali o le chiavi per connetterti a destinazioni di streaming come Amazon Redshift, HTTP endpoint, Snowflake, Splunk, Coralogix, Datadog, Dynatrace, Elastic, Honeycomb, Logz.io, MongoDB Cloud e New Relic. LogicMonitor 

È possibile configurare l'autenticazione con Secrets Manager per queste destinazioni tramite la console di AWS gestione al momento della creazione dello stream Firehose. Per ulteriori informazioni, consulta [Configurare le impostazioni di destinazione](create-destination.md). In alternativa, puoi anche utilizzare le operazioni [CreateDeliveryStream](https://docs.aws.amazon.com/firehose/latest/APIReference/API_CreateDeliveryStream.html)e [UpdateDestination](https://docs.aws.amazon.com/firehose/latest/APIReference/API_UpdateDestination.html)API per configurare l'autenticazione con Secrets Manager.

Firehose memorizza nella cache i segreti con una crittografia e li utilizza per ogni connessione alle destinazioni. Aggiorna la cache ogni 10 minuti per garantire che vengano utilizzate le credenziali più recenti. 

Puoi scegliere di disattivare la funzionalità di recupero dei segreti da Secrets Manager in qualsiasi momento durante il ciclo di vita dello stream. Se non desideri utilizzare Secrets Manager per recuperare i segreti, puoi invece utilizzare la chiave username/password o API.

**Nota**  
Sebbene questa funzionalità di Firehose non preveda costi aggiuntivi, l'accesso e la manutenzione di Secrets Manager sono a pagamento. Per ulteriori informazioni, consulta la pagina dei prezzi [Gestione dei segreti AWS](https://aws.amazon.com/secrets-manager/pricing/).

## Concedi l'accesso a Firehose per recuperare il segreto
<a name="secrets-manager-permission"></a>

Affinché Firehose possa recuperare un segreto Gestione dei segreti AWS, è necessario fornire a Firehose le autorizzazioni necessarie per accedere al segreto e la chiave che crittografa il segreto. 

Quando si utilizza Gestione dei segreti AWS per archiviare e recuperare i segreti, sono disponibili diverse opzioni di configurazione a seconda di dove è archiviato il segreto e di come è crittografato. 
+ Se il segreto è archiviato nello stesso AWS account del ruolo IAM ed è crittografato con la chiave AWS gestita predefinita (`aws/secretsmanager`), il ruolo IAM assunto da Firehose necessita solo `secretsmanager:GetSecretValue` dell'autorizzazione sul segreto. 

  ```
  // secret role policy
  {
      "Version": "2012-10-17", 		 	 	 
      "Statement": [
          {
              "Effect": "Allow",
              "Action": "secretsmanager:GetSecretValue",
              "Resource": "Secret ARN"
          }
      ]
  }
  ```

  Per ulteriori informazioni sulle politiche IAM, consulta Esempi di [policy di autorizzazione](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples.html) per. Gestione dei segreti AWS
+ Se il segreto è archiviato nello stesso account del ruolo ma crittografato con una [chiave gestita dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk) (CMK), il ruolo richiede entrambe `secretsmanager:GetSecretValue` le `kms:Decrypt` autorizzazioni. La policy CMK deve inoltre consentire al ruolo IAM di funzionare. `kms:Decrypt` 
+ Se il segreto è archiviato in un AWS account diverso dal tuo ruolo ed è crittografato con la chiave AWS gestita predefinita, questa configurazione non è possibile in quanto Secrets Manager non consente l'accesso tra account quando il segreto è crittografato con una chiave AWS gestita.
+ Se il segreto è archiviato in un account diverso e crittografato con una CMK, il ruolo IAM richiede l'`secretsmanager:GetSecretValue`autorizzazione sul segreto e l'`kms:Decrypt`autorizzazione sulla CMK. La politica delle risorse del segreto e la politica CMK dell'altro account devono inoltre consentire al ruolo IAM le autorizzazioni necessarie. Per ulteriori informazioni, consulta Accesso [tra](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access_examples_cross.html) account.

# Ruota il segreto
<a name="secrets-manager-rotate"></a>

*La rotazione* avviene quando aggiorni periodicamente un segreto. Puoi Gestione dei segreti AWS configurare la rotazione automatica del segreto secondo una pianificazione da te specificata. In questo modo, puoi sostituire i segreti a lungo termine con segreti a breve termine. Questo aiuta a ridurre il rischio di compromessi. Per ulteriori informazioni, consulta [Rotate Gestione dei segreti AWS secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) nella *Guida per l'Gestione dei segreti AWS utente*.