JSONstruttura di AWS Secrets Manager segreti - AWS Secrets Manager
RDSCredenziali Amazon e AuroraCredenziali Amazon RedshiftCredenziali Serverless Amazon RedshiftCredenziali Amazon DocumentDBAmazon Timestream per la struttura segreta di InfluxDB ElastiCache Credenziali AmazonCredenziali Active Directory

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

JSONstruttura di AWS Secrets Manager segreti

È possibile memorizzare qualsiasi testo o file binario in un segreto di Secrets Manager fino alla dimensione massima di 65.536 byte.

Se si utilizzaRotazione tramite funzione Lambda, un segreto deve contenere JSON campi specifici previsti dalla funzione di rotazione. Ad esempio, per un segreto che contiene le credenziali del database, la funzione di rotazione si connette al database per aggiornare le credenziali, quindi il segreto deve contenere le informazioni di connessione al database.

Se si utilizza la console per modificare la rotazione di un segreto del database, il segreto deve contenere coppie JSON chiave-valore specifiche che identificano il database. Secrets Manager utilizza questi campi per interrogare il database per trovare quello corretto in VPC cui memorizzare una funzione di rotazione.

JSONi nomi chiave fanno distinzione tra maiuscole e minuscole.

RDSCredenziali Amazon e Aurora

Per utilizzare i modelli di funzioni di rotazione forniti da Secrets Manager, utilizzare la seguente JSON struttura. È possibile aggiungere altre coppie chiave/valore, ad esempio per contenere informazioni di connessione per database di replica in altre regioni.

DB2

Per le istanze Amazon RDS Db2, poiché gli utenti non possono modificare le proprie password, è necessario fornire le credenziali di amministratore in un segreto separato.

{
  "engine": "db2",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to None>",
  "port": <TCP port number. If not specified, defaults to 3306>,
  "masterarn": "<ARN of the elevated secret>",
  "dbInstanceIdentifier": <optional: ID of the instance. Alternately, use dbClusterIdentifier. Required for configuring rotation in the console.>",
  "dbClusterIdentifier": <optional: ID of the cluster. Alternately, use dbInstanceIdentifier. Required for configuring rotation in the console.>"
}
MariaDB
{
  "engine": "mariadb",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to None>",
  "port": <TCP port number. If not specified, defaults to 3306>,
  "masterarn": "<optional: ARN of the elevated secret. Required for the Strategia di rotazione a utenti alternati.>",
  "dbInstanceIdentifier": <optional: ID of the instance. Alternately, use dbClusterIdentifier. Required for configuring rotation in the console.>",
  "dbClusterIdentifier": <optional: ID of the cluster. Alternately, use dbInstanceIdentifier. Required for configuring rotation in the console.>"
}
MySQL
{
  "engine": "mysql",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to None>",
  "port": <TCP port number. If not specified, defaults to 3306>,
  "masterarn": "<optional: ARN of the elevated secret. Required for the Strategia di rotazione a utenti alternati.>",
  "dbInstanceIdentifier": <optional: ID of the instance. Alternately, use dbClusterIdentifier. Required for configuring rotation in the console.>",
  "dbClusterIdentifier": <optional: ID of the cluster. Alternately, use dbInstanceIdentifier. Required for configuring rotation in the console.>"
}
Oracle
{
  "engine": "oracle",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name>",
  "port": <TCP port number. If not specified, defaults to 1521>,
  "masterarn": "<optional: ARN of the elevated secret. Required for the Strategia di rotazione a utenti alternati.>",
  "dbInstanceIdentifier": <optional: ID of the instance. Alternately, use dbClusterIdentifier. Required for configuring rotation in the console.>",
  "dbClusterIdentifier": <optional: ID of the cluster. Alternately, use dbInstanceIdentifier. Required for configuring rotation in the console.>"
}
Postgres
{
  "engine": "postgres",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to 'postgres'>",
  "port": <TCP port number. If not specified, defaults to 5432>,
  "masterarn": "<optional: ARN of the elevated secret. Required for the Strategia di rotazione a utenti alternati.>",
  "dbInstanceIdentifier": <optional: ID of the instance. Alternately, use dbClusterIdentifier. Required for configuring rotation in the console.>",
  "dbClusterIdentifier": <optional: ID of the cluster. Alternately, use dbInstanceIdentifier. Required for configuring rotation in the console.>"
}
SQLServer
{
  "engine": "sqlserver",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to 'master'>",
  "port": <TCP port number. If not specified, defaults to 1433>,
  "masterarn": "<optional: ARN of the elevated secret. Required for the Strategia di rotazione a utenti alternati.>",
  "dbInstanceIdentifier": <optional: ID of the instance. Alternately, use dbClusterIdentifier. Required for configuring rotation in the console.>",
  "dbClusterIdentifier": <optional: ID of the cluster.Alternately, use dbInstanceIdentifier.  Required for configuring rotation in the console.>"
}

Credenziali Amazon Redshift

Per utilizzare i modelli di funzioni di rotazione forniti da Secrets Manager, utilizzare la seguente JSON struttura. È possibile aggiungere altre coppie chiave/valore, ad esempio per contenere informazioni di connessione per database di replica in altre regioni.

{
  "engine": "redshift",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to None>",
  "dbClusterIdentifier": "<optional: database ID. Required for configuring rotation in the console.>"
  "port": <optional: TCP port number. If not specified, defaults to 5439>
  "masterarn": "<optional: ARN of the elevated secret. Required for the Strategia di rotazione a utenti alternati.>"
}

Credenziali Serverless Amazon Redshift

Per utilizzare i modelli di funzioni di rotazione forniti da Secrets Manager, utilizzare la seguente JSON struttura. È possibile aggiungere altre coppie chiave/valore, ad esempio per contenere informazioni di connessione per database di replica in altre regioni.

{
  "engine": "redshift",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to None>",
  "namespaceName": "<optional: namespace name, Required for configuring rotation in the console.> "
  "port": <optional: TCP port number. If not specified, defaults to 5439>
  "masterarn": "<optional: ARN of the elevated secret. Required for the Strategia di rotazione a utenti alternati.>"
}

Credenziali Amazon DocumentDB

Per utilizzare i modelli di funzioni di rotazione forniti da Secrets Manager, utilizzare la seguente JSON struttura. È possibile aggiungere altre coppie chiave/valore, ad esempio per contenere informazioni di connessione per database di replica in altre regioni.

{
  "engine": "mongo",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to None>",
  "port": <TCP port number. If not specified, defaults to 27017>,
  "ssl": <true|false. If not specified, defaults to false>,
  "masterarn": "<optional: ARN of the elevated secret. Required for the Strategia di rotazione a utenti alternati.>",
  "dbClusterIdentifier": "<optional: database cluster ID. Alternately, use dbInstanceIdentifier. Required for configuring rotation in the console.>"
  "dbInstanceIdentifier": "<optional: database instance ID. Alternately, use dbClusterIdentifier. Required for configuring rotation in the console.>"
}

Amazon Timestream per la struttura segreta di InfluxDB

Per ruotare i segreti di Timestream, puoi utilizzare i modelli di rotazione. Amazon Timestream per InfluxDB

Per ulteriori informazioni, consulta l'articolo Come Amazon Timestream for InfluxDB utilizza i segreti nella Amazon Timestream Developer Guide.

I segreti di Timestream devono essere nella JSON struttura corretta per poter utilizzare i modelli di rotazione. Per ulteriori informazioni, consulta What's in the secret nella Amazon Timestream Developer Guide.

ElastiCache Credenziali Amazon

L'esempio seguente mostra la JSON struttura di un segreto che memorizza ElastiCache le credenziali.

{
  "password": "<password>",
  "username": "<username>" 
  "user_arn": "ARN of the Amazon EC2 user"
}

Per ulteriori informazioni, consulta Rotazione automatica delle password per gli utenti nella Amazon ElastiCache User Guide.

Credenziali Active Directory

AWS Directory Service utilizza segreti per archiviare le credenziali di Active Directory. Per ulteriori informazioni, consulta Unire senza problemi un'istanza Amazon EC2 Linux alla tua Active Directory Managed AD nel AWS Directory Service Guida all'amministrazione. Seamless Domain Join richiede i nomi chiave riportati negli esempi seguenti. Se non utilizzi Seamless Domain Join, puoi modificare i nomi delle chiavi del segreto utilizzando le variabili di ambiente come descritto nel codice del modello della funzione di rotazione.

Per ruotare i segreti di Active Directory, puoi utilizzare i modelli di rotazione di Active Directory.

Active Directory credential
{
  "awsSeamlessDomainUsername": "<username>",
  "awsSeamlessDomainPassword": "<password>"
}

Se desideri ruotare il segreto, includi l'ID della directory del dominio.

{
  "awsSeamlessDomainDirectoryId": "d-12345abc6e",
  "awsSeamlessDomainUsername": "<username>",
  "awsSeamlessDomainPassword": "<password>"
}

Se il segreto viene utilizzato insieme a un segreto che contiene un keytab, includi il segreto keytab. ARNs

{
  "awsSeamlessDomainDirectoryId": "d-12345abc6e",
  "awsSeamlessDomainUsername": "<username>",
  "awsSeamlessDomainPassword": "<password>",
  "directoryServiceSecretVersion": 1,
  "schemaVersion": "1.0",
  "keytabArns": [
    "<ARN of child keytab secret 1>,
    "<ARN of child keytab secret 2>,
    "<ARN of child keytab secret 3>,
  ],
  "lastModifiedDateTime": "2021-07-19 17:06:58"
}
Active Directory keytab

Per informazioni sull'utilizzo dei file keytab per l'autenticazione su account Active Directory su AmazonEC2, consulta Implementazione e configurazione dell'autenticazione Active Directory con Server SQL 2017 su Amazon Linux 2.

{
  "awsSeamlessDomainDirectoryId": "d-12345abc6e",
  "schemaVersion": "1.0",
  "name": "< name>",
  "principals": [
    "aduser@MY.EXAMPLE.COM",
    "MSSQLSvc/test:1433@MY.EXAMPLE.COM"
  ],
  "keytabContents": "<keytab>",
  "parentSecretArn": "<ARN of parent secret>",
  "lastModifiedDateTime": "2021-07-19 17:06:58"
  "version": 1
}