As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Como proteger as credenciais do local de armazenamento com o Secrets Manager
<a name="location-credentials"></a>

DataSync usa [locais](https://docs.aws.amazon.com/datasync/latest/userguide/how-datasync-transfer-works.html#sync-locations) para acessar seus recursos de armazenamento localizados no local, em outras nuvens ou em AWS. Alguns tipos de localização exigem que você forneça credenciais (exemplos como chave de acesso e chave secreta, nome de usuário e senha, keytab Kerberos, token SAS etc.) para se autenticar com seu sistema de armazenamento. Ao criar um DataSync local que requer credenciais para autenticação, você pode usar AWS Secrets Manager (Secrets Manager) para armazenar o segredo de suas credenciais. As seguintes opções estão disponíveis:
+ [ManagedSecretConfig](https://docs.aws.amazon.com/datasync/latest/userguide/API_ManagedSecretConfig.html): DataSync -Configuração do Managed Secret. Armazene o segredo no Secrets Manager usando um segredo DataSync gerenciado pelo serviço criptografado com uma chave padrão.
+ [CmkSecretConfig](https://docs.aws.amazon.com/datasync/latest/userguide/API_CmkSecretConfig.html): DataSync -Segredo gerenciado com configuração de chave gerenciada pelo cliente (CMK). Armazene o segredo no Secrets Manager usando um segredo DataSync gerenciado pelo serviço criptografado com uma AWS KMS chave que você gerencia.
+ [CustomSecretConfig](https://docs.aws.amazon.com/datasync/latest/userguide/API_CustomSecretConfig.html): Configuração secreta gerenciada pelo cliente. Armazene o segredo no Secrets Manager usando um segredo e uma chave que você cria e gerencia. DataSync acessa esse segredo usando uma função do IAM fornecida por você.

Em todos os casos, o segredo do Secrets Manager é armazenado em sua conta, permitindo que você atualize o segredo conforme necessário, independentemente do DataSync serviço. Segredos criados e gerenciados por DataSync têm o prefixo`aws-datasync`.

Você é cobrado pelo uso de segredos somente quando cria segredos fora DataSync ou faz chamadas de API para segredos gerenciados por serviços de outros serviços. DataSync

## Como usar um segredo gerenciado pelo serviço criptografado com uma chave padrão
<a name="service-secret-default-key"></a>

Ao criar sua DataSync localização, basta fornecer a string secreta. DataSynccria um recurso secreto no Secrets Manager para armazenar o segredo que você fornece e criptografa o segredo com a chave KMS padrão do Secrets Manager para sua conta. Você pode alterar o valor secreto diretamente no Secrets Manager ou atualizando o local usando o DataSync console ou o SDK. AWS CLI Quando você exclui o recurso de localização ou o atualiza para usar um segredo personalizado, DataSync exclui o recurso secreto automaticamente.

**nota**  
Para criar, modificar e excluir recursos secretos no Secrets Manager, é DataSync necessário ter as permissões apropriadas. Para obter mais informações, consulte [Políticas gerenciadas pela AWS para DataSync](https://docs.aws.amazon.com/datasync/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awsdatasyncfullaccess).

## Usando um segredo gerenciado pelo serviço criptografado com uma chave personalizada AWS KMS
<a name="service-secret-custom-key"></a>

Ao criar sua DataSync localização, você fornece o segredo e o ARN da sua AWS KMS chave. DataSync cria automaticamente um recurso secreto no Secrets Manager para armazenar o segredo que você fornece e o criptografa usando sua AWS KMS chave. Você pode alterar o valor secreto diretamente no Secrets Manager ou atualizando o local usando o DataSync console ou o SDK. AWS CLI Quando você exclui o recurso de localização ou o atualiza para usar um segredo personalizado, DataSync exclui o recurso secreto automaticamente.

**nota**  
Sua AWS KMS chave deve usar criptografia simétrica com o tipo de `ENCRYPT_DECRYPT` chave. Para obter mais informações, consulte [Como escolher uma chave AWS Key Management Service](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html) no *Guia do usuário do AWS Secrets Manager *.

Para criar, modificar e excluir recursos secretos no Secrets Manager, é DataSync necessário ter as permissões apropriadas. Para obter mais informações, consulte [Políticas gerenciadas pela AWS : AWSDataSyncFullAccess](https://docs.aws.amazon.com/datasync/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awsdatasyncfullaccess).

Além de usar a política DataSync gerenciada correta, você também precisa das seguintes permissões:

```
{
    "Sid": "DataSyncKmsPermissions",
    "Effect": "Allow",
    "Action": [
        "kms:Encrypt",
        "kms:GenerateDataKey",
        "kms:Decrypt"
    ],
    "Resource": "your-kms-key-arn",
    "Condition": {
        "StringLike": {
            "kms:ViaService": "secretsmanager.*.amazonaws.com"
        }
    }
}
```

*your-kms-key-arn*Substitua pelo ARN da sua chave KMS.

Para recuperar e descriptografar o valor secreto, DataSync use uma função vinculada ao serviço (SLR) para acessar sua chave. AWS KMS Para garantir que DataSync você possa usar sua chave KMS, adicione o seguinte à declaração de política da chave:

```
{
    "Sid": "Allow DataSync to use the key for decryption",
    "Effect": "Allow",
    "Principal": {
            "AWS": "arn:aws:iam::111122223333:role/aws-service-role/datasync.amazonaws.com/AWSServiceRoleForDataSync"
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}
```

*111122223333*Substitua pelo seu Conta da AWS ID.

## Como usar um segredo que você gerencia
<a name="custom-secret-custom-key"></a>

Antes de criar sua DataSync localização, [crie um segredo no Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html). O valor do segredo deve conter somente a própria string secreta em texto simples. Ao criar sua DataSync localização, você fornece o ARN do seu segredo e uma função do IAM que DataSync usa para acessar seu segredo e a AWS KMS chave usada para criptografá-lo. Para criar um perfil do IAM com as devidas permissões, faça o seguinte:

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. No painel de navegação esquerdo, em **Gerenciamento de acesso**, escolha **Perfis** e, em seguida, escolha **Criar perfil**.

1. Na página **Selecionar entidade confiável**, em **Tipo de entidade confiável**, escolha **Serviço da AWS **.

1. Para **Caso de uso**, escolha na **DataSync**lista suspensa. Escolha **Próximo**.

1. Na página **Adicionar permissões**, escolha **Próximo**. Insira um nome para o perfil e escolha **Criar perfil**.

1. Na página **Perfis**, procure o perfil que você acabou de criar e escolha seu nome.

1. Na página **Detalhes** do perfil, escolha a guia **Permissões**. Selecione **Adicionar permissões** e, em seguida, **Criar política em linha**.

1. Escolha a guia **JSON** e adicione as seguintes permissões ao editor de políticas:

------
#### [ JSON ]

****  

   ```
   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": [
                   "secretsmanager:GetSecretValue",
                   "secretsmanager:DescribeSecret"
               ],
               "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:your-secret-name"
           }
       ]
   }
   ```

------

   *your-secret-name*Substitua pelo nome do seu segredo do Secrets Manager.

1. Escolha **Próximo**. Insira um nome para a política e escolha **Criar política**.

1. (Recomendado) Para evitar o [problema “confused deputy” entre serviços](https://docs.aws.amazon.com/datasync/latest/userguide/cross-service-confused-deputy-prevention.html), faça o seguinte:

   1. Na página **Detalhes** do perfil, escolha a guia **Relações de confiança**. Escolha **Editar política de confiança**.

   1. Atualize a política de confiança usando o exemplo a seguir, que inclui as chaves de contexto de condição global `aws:SourceArn` e `aws:SourceAccount`:

------
#### [ JSON ]

****  

      ```
      {
          "Version":"2012-10-17",		 	 	 
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": {
                      "Service": "datasync.amazonaws.com"
                  },
                  "Action": "sts:AssumeRole",
                  "Condition": {
                      "StringEquals": {
                      "aws:SourceAccount": "111122223333"
                      },
                      "ArnLike": {
                      "aws:SourceArn": "arn:aws:datasync:us-east-1:111122223333:*"
                      }
                  }
              }
          ]
      }
      ```

------

   1. Escolha **Atualizar política**.

Você pode especificar esse perfil ao criar o local. Se seu segredo usa uma AWS KMS chave gerenciada pelo cliente para criptografia, você também precisará atualizar a política da chave para permitir o acesso da função que você criou no procedimento anterior. Para atualizar a política, adicione o seguinte à declaração de política da sua AWS KMS chave:

```
{
    "Sid": "Allow DataSync use of the key",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam:111122223333:role/your-role-name”
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}
```

*111122223333*Substitua pelo seu Conta da AWS ID e *your-role-name* pelo nome da função do IAM que você criou no procedimento anterior.

**nota**  
Quando você armazena segredos no Secrets Manager, você Conta da AWS incorre em cobranças. Para obter mais informações sobre definição de preços, consulte [Definição de preço do AWS Secrets Manager](https://aws.amazon.com/secrets-manager/pricing/).