# Extensões de pipelines do CloudWatch
<a name="pipeline-extensions"></a>

As extensões dos pipelines do CloudWatch fornecem funcionalidade adicional ao pipeline. Você pode usar a integração do AWS Secrets Manager para gerenciamento de credenciais.

## Extensão AWS Secrets Manager
<a name="aws-secrets-manager-extension"></a>

Configura o acesso ao AWS Secrets Manager para recuperar credenciais e valores de configuração sensíveis. Essa extensão só é compatível com as fontes de terceiros que exigem credenciais de autenticação.

**Configuração**  
Configure a extensão AWS Secrets Manager com os seguintes parâmetros:

```
extension:
  aws:
    secrets:
      <secret-name>:
        secret_id: "<secret arn>"
        region: "<secret region>"
        sts_role_arn: "arn:aws:iam::123456789012:role/Example-Role"
        refresh_interval: PT1H
        disable_refresh: false
```Parâmetros

`aws.secrets.<secret-name>.secret_id` (obrigatório)  
O ARN do segredo do AWS Secrets Manager contendo as credenciais.

`aws.secrets.<secret-name>.region` (obrigatório)  
A região da AWS onde o segredo está armazenado.

`aws.secrets.<secret-name>.sts_role_arn` (obrigatório)  
O ARN do perfil do IAM que deve ser assumido para acessar o segredo do AWS Secrets Manager.

`aws.secrets.<secret-name>.refresh_interval` (opcional)  
A frequência com que o segredo do AWS Secrets Manager deve ser atualizado. Usa o formato de duração ISO 8601. O padrão é PT1H (1 hora).

`aws.secrets.<secret-name>.disable_refresh` (opcional)  
Se a atualização de segredo automática deve ser desabilitada. O padrão é falso.

### Sintaxe de referência a segredo
<a name="secret-reference-syntax"></a>

Referencie segredos em sua configuração de pipeline usando a seguinte sintaxe:

```
${{aws_secrets:<secret-name>:<key>}}
```

Por exemplo, para referenciar um ID e um segredo de cliente:

```
source:
  microsoft_office365:
    authentication:
      oauth2:
        client_id: "${{aws_secrets:office365-creds:client_id}}"
        client_secret: "${{aws_secrets:office365-creds:client_secret}}"
```

### Requisitos e limitações
<a name="secret-requirements"></a>

Formato do segredo  
Os segredos devem ser armazenados como pares de valores-chave JSON no AWS Secrets Manager.

Acesso entre regiões  
Os segredos podem ser acessados em qualquer região onde o AWS Secrets Manager esteja disponível.

Limites de intervalo para atualização  
O intervalo mínimo para atualização é de 5 minutos (PT5M). O máximo é de 24 horas (PT24H).

Máximo de segredos  
Um pipeline pode referenciar até 10 segredos diferentes.

**Importante**  
Considere o seguinte ao usar segredos:  
Certifique-se de que o perfil do IAM tenha as permissões apropriadas para acessar o segredo
Monitore o acesso ao segredo usando o AWS CloudTrail
Use segredos diferentes para os diversos ambientes (desenvolvimento, produção)