Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Replica i Gestione dei segreti AWS segreti in tutte le regioni
Puoi replicare i tuoi segreti in più aree Regioni AWS per supportare le applicazioni distribuite in quelle regioni e soddisfare i requisiti di accesso regionali e di bassa latenza. Se necessario in un secondo momento, è possibile [promuovere un segreto di replica a uno standalone](standalone-secret.md) e quindi configurarlo per la replica in modo indipendente. Secrets Manager replica i dati segreti crittografati e i metadati, ad esempio tag e policy delle risorse tra le Regioni specificate.
L'ARN di un segreto replicato è lo stesso del segreto principale ad eccezione della regione, ad esempio:
+ Segreto primario: `arn:aws:secretsmanager:Region1:123456789012:secret:MySecret-a1b2c3`
+ Segreto di replica: `arn:aws:secretsmanager:Region2:123456789012:secret:MySecret-a1b2c3`
Per informazioni sui prezzi dei segreti di replica, consulta [Prezzi di Gestione dei segreti AWS](https://aws.amazon.com/secrets-manager/pricing/).
Quando archivi le credenziali del database per un database di origine replicato in altre regioni, il segreto contiene informazioni di connessione per il database di origine. Se poi replichi il segreto, le repliche saranno copie del segreto di origine e conterranno le stesse informazioni di connessione. È possibile aggiungere altre key/value coppie al segreto per le informazioni di connessione regionali.
Se si attiva il segreto primario per la rotazione, Secrets Manager esegue la rotazione segreta nella regione principale e il nuovo valore segreto si propaga a tutti i segreti di replica associati. Non è possibile gestire la rotazione singolarmente per tutti i segreti di replica.
Puoi replicare i segreti in tutte le AWS regioni abilitate. Tuttavia, se utilizzi Secrets Manager in AWS regioni speciali come AWS GovCloud (US) le regioni della Cina, puoi configurare i segreti e le repliche solo all'interno di queste AWS regioni specializzate. Non è possibile replicare un segreto nelle AWS regioni abilitate in una regione specializzata o replicare un segreto da una regione specializzata a una regione commerciale.
Prima di poter replicare un segreto in un'altra regione, devi abilitare tale regione. Per ulteriori informazioni, consulta [Gestire AWS Regioni.](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable)
Puoi utilizzare un segreto in più regioni senza replicarlo chiamando l'endpoint di Secrets Manager nella regione in cui è archiviato il segreto. Per un elenco di endpoint, consulta [Gestione dei segreti AWS endpoint](asm_access.md#endpoints). Per utilizzare la replica per migliorare la resilienza del carico di lavoro, consulta l'articolo [Disaster Recovery (DR) Architecture on AWS, Part I: Strategies for](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-i-strategies-for-recovery-in-the-cloud/) Recovery in the Cloud.
Secrets Manager genera una voce di CloudTrail registro quando si replica un segreto. Per ulteriori informazioni, consulta [Registra Gestione dei segreti AWS gli eventi con AWS CloudTrail](monitoring-cloudtrail.md).
**Come replicare un segreto in altre regioni (console)**
1. Apri la console Secrets Manager all'indirizzo [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Dall'elenco dei segreti, scegli il segreto.
1. Nella pagina dei dettagli del segreto, nella sezione **Replica** completa una delle seguenti operazioni:
+ Se il tuo segreto non viene replicato, scegli **Replica il segreto**.
+ Se il tuo segreto viene replicato, nella sezione **Replica il segreto**, scegli **Aggiungi regione**.
1. Nella finestra di dialogo **Aggiungi valore di registro**, effettua una delle operazioni indicate di seguito:
1. Per **Regione AWS **, scegli la regione in cui desideri replicare il segreto.
1. (Opzionale) In **Chiave di crittografia**, scegli una chiave KMS con cui crittografare il segreto. La chiave deve trovarsi nella Regione della replica.
1. (Facoltativo) Per aggiungere un'altra regione, scegli **Aggiungi altre regioni**.
1. Scegliere **Replicate (Replica)**.
Torna alla pagina dei dettagli del segreto. Nella sezione **Replica segreto**, lo **Stato di replica** viene visualizzato per ogni regione.
## AWS CLI
**Example Replica di un segreto in un'altra Regione**
Nell'esempio [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/replicate-secret-to-regions.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/replicate-secret-to-regions.html) seguente, un segreto viene replicato nella Regione eu-west-3. La replica è crittografata con la chiave AWS **aws/secretsmanager** gestita.
```
aws secretsmanager replicate-secret-to-regions \
--secret-id MyTestSecret \
--add-replica-regions Region=eu-west-3
```
**Example Crea un segreto e replicalo**
L'[esempio](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/create-secret.html) seguente crea un segreto e lo replica in eu-west-3. La replica è crittografata con. Chiave gestita da AWS **aws/secretsmanager**
```
aws secretsmanager create-secret \
--name MyTestSecret \
--description "My test secret created with the CLI." \
--secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
--add-replica-regions Region=eu-west-3
```
## AWS SDK
Per replicare un segreto, utilizzare il comando [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html). Per ulteriori informazioni, consulta [AWS SDKs](asm_access.md#asm-sdks).
# Promuovi una replica segreta a una copia segreta autonoma in Gestione dei segreti AWS
Un segreto di replica è un segreto che viene replicato da un segreto primario a un altro. Regione AWS Ha lo stesso valore segreto e metadati del primario, ma può essere crittografato con una chiave KMS diversa. Un segreto di replica non può essere aggiornato indipendentemente dal segreto principale, con l'eccezione della chiave di crittografia. La promozione di un segreto di replica disconnette tale segreto da quello primario e rende la replica segreta un segreto autonomo. Modifiche al segreto primario non vengono replicate nel segreto autonomo.
Puoi promuovere un segreto di replica a un segreto autonomo come soluzione di ripristino di emergenza in caso di errore del segreto primario. In alternativa, è utile promuovere una replica in un segreto autonomo se si desidera attivare la rotazione per la replica.
Se si promuove una replica, per utilizzare il segreto autonomo, assicurati di aggiornare le applicazioni corrispondenti.
Secrets Manager genera una voce di CloudTrail registro quando promuovi un segreto. Per ulteriori informazioni, consulta [Registra Gestione dei segreti AWS gli eventi con AWS CloudTrail](monitoring-cloudtrail.md).
**Per promuovere un segreto di replica (console)**
1. Accedere a Secrets Manager all'indirizzo [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Accesso alla Regione di replica.
1. Nella pagina **Secrets** (Segreti), scegli il segreto di replica.
1. Nella pagina dei dettagli dei segreti di replica, scegli **Promote to standalone secret** (Promuovi a segreto autonomo).
1. Nella finestra di dialogo **Promote replica to standalone secret** (Promuovi replica a segreto autonomo), inserisci la Regione e quindi scegli **Promote replica** (Promuovi replica).
## AWS CLI
**Example Promozione di un segreto di replica a primario**
L'esempio di [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html) seguente mostra come rimuovere il collegamento tra un segreto di replica e quello primario. Il segreto di replica viene promosso a segreto primario nella Regione della replica. È necessario effettuare una chiamata [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html) dall’interno della Regione della replica.
```
aws secretsmanager stop-replication-to-replica \
--secret-id MyTestSecret
```
## AWS SDK
Per promuovere una replica in un segreto autonomo, usare il comando [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html). È necessario richiamare questa azione dalla regione segreta di replica. Per ulteriori informazioni, consulta [AWS SDKs](asm_access.md#asm-sdks).
# Impedire la Gestione dei segreti AWS replica
Poiché i segreti possono essere replicati utilizzando [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html)o quando vengono creati utilizzando [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html), se desideri impedire agli utenti di replicare i segreti, ti consigliamo di impedire le azioni che contengono il parametro. `AddReplicaRegions` È possibile utilizzare un'`Condition`istruzione nelle politiche di autorizzazione per consentire solo azioni che non aggiungono aree di replica. Consulta i seguenti esempi di policy per le istruzioni Condition che puoi utilizzare.
**Example Impedisci l'autorizzazione alla replica**
Il seguente esempio di policy mostra come consentire tutte le azioni che non aggiungono aree di replica. Ciò impedisce agli utenti di replicare i segreti tramite entrambi `ReplicateSecretToRegions` e. `CreateSecret`
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": "*",
"Condition": {
"Null": {
"secretsmanager:AddReplicaRegions": "true"
}
}
}
]
}
```
**Example Consenti l'autorizzazione di replica solo a regioni specifiche**
La seguente politica mostra come consentire tutte le seguenti operazioni:
+ Crea segreti senza repliche
+ Crea segreti con replica nelle regioni solo negli Stati Uniti d'America e in Canada
+ Replica i segreti nelle regioni solo negli Stati Uniti d'America e in Canada
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:ReplicateSecretToRegions"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringLike": {
"secretsmanager:AddReplicaRegions": [
"us-*",
"ca-*"
]
}
}
}
]
}
```
# Risoluzione dei problemi relativi Gestione dei segreti AWS alla replica
Gestione dei segreti AWS la replica potrebbe fallire per vari motivi. Per verificare il motivo per cui un segreto non è stato replicato, puoi effettuare una delle seguenti operazioni:
+ Chiama l'operazione `DescribeSecret` API
+ Rivedi AWS CloudTrail gli eventi
Quando la replica fallisce:
+ Se non ci sono versioni segrete utilizzabili, Secrets Manager rimuove il segreto dalla regione di replica.
+ Se esistono versioni segrete replicate correttamente, queste rimangono nella regione di replica finché non vengono rimosse esplicitamente utilizzando l'operazione API. `RemoveRegionsFromReplication`
Le sezioni seguenti descrivono alcuni motivi comuni degli errori di replica.
## Esiste un segreto con lo stesso nome nella Regione selezionata
Per risolvere questo problema è possibile sovrascrivere il nome duplicato del segreto nella Regione di replica. Riprova la replica e poi nella casella di dialogo **Riprova la replica** scegli **Sovrascrivi**.
## Nessuna autorizzazione disponibile sulla chiave KMS per completare la replica
Secrets Manager innanzitutto crittografa il segreto prima di crittografarlo nuovamente con la nuova chiave KMS nella Regione di replica. Se non disponi dell'autorizzazione `kms:Decrypt` per la chiave di crittografia nella Regione principale, riscontrerai questo errore. Per crittografare il segreto replicato con una chiave KMS diversa da `aws/secretsmanager`, è necessario `kms:GenerateDataKey` e `kms:Encrypt` alla chiave. Per informazioni, consulta [Autorizzazioni per la chiave KMS](security-encryption.md#security-encryption-authz).
## La chiave KMS è stata disattivata o non è stata trovata
Se la chiave di crittografia nella regione principale è disabilitata o eliminata, Secrets Manager non può replicare il segreto. Se il segreto presenta [versioni con etichetta personalizzata](whats-in-a-secret.md#term_version) crittografate con la chiave di crittografia disabilitata o eliminata, questo errore può verificarsi anche se la chiave di crittografia è stata modificata. Per informazioni su come Secrets Manager esegue la crittografia, consulta [Crittografia e decrittografia segrete in Gestione dei segreti AWS](security-encryption.md). Per risolvere questo problema, è possibile ricreare le versioni segrete in modo che Secrets Manager possa crittografarle con la chiave di crittografia corrente. Per ulteriori informazioni, consulta [Modificare la chiave di crittografia per un segreto](manage_update-encryption-key.md#manage_update-encryption-key_CLI). Quindi riprova la replica.
```
aws secretsmanager put-secret-value \
--secret-id testDescriptionUpdate \
--secret-string "SecretValue" \
--version-stages "MyCustomLabel"
```
## Non è stata abilitata la Regione in cui si verifica la replica
Per informazioni su come abilitare una Regione, consulta [Gestione delle Regioni AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) nella *Guida di riferimento alla gestione degli account AWS *.