As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Crie um AWS Secrets Manager segredo
Um segredo pode ser uma senha, um conjunto de credenciais, como nome de usuário e senha, um OAuth token ou outras informações secretas que você armazena de forma criptografada no Secrets Manager.
dica
Para credenciais de usuário administrador do Amazon RDS e do Amazon Redshift, recomendamos o uso de segredos gerenciados. Você cria o segredo gerenciado por meio do serviço de gerenciamento e, em seguida, pode usar a rotação gerenciada.
Quando você usa o console para armazenar credenciais de banco de dados para um banco de dados de origem replicado para outras regiões, o segredo contém informações de conexão para o banco de dados de origem. Se você replicar o segredo, as réplicas serão cópias do segredo de origem e conterão as mesmas informações de conexão. É possível adicionar pares de chave-valor ao segredo para informações de conexão regional.
Para criar um segredo, você precisa das permissões concedidas pela política SecretsManagerReadWrite gerenciada.
O Secrets Manager gera uma entrada de CloudTrail registro quando você cria um segredo. Para obter mais informações, consulte AWS Secrets Manager Registre eventos com AWS CloudTrail.
Para criar um segredo (console)
Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/
. -
Selecione Armazenar um novo segredo.
-
Na página Selecionar tipo de segredo, faça o seguinte:
-
Para Secret type (Tipo de segredo), siga um destes procedimentos:
-
Para armazenar credenciais de banco de dados, escolha o tipo de credenciais de banco de dados a armazenar. Em seguida, escolha o Banco de dados e insira as Credenciais.
-
Para armazenar chaves de APIs, tokens de acesso e credenciais que não sejam para bancos de dados, escolha Outro tipo de segredo.
Em Key/value pairs (Pares de chave/valor), ou insira seu segredo no JSON Key/value (Chave/valor), ou escolha a guia Plaintext (Texto simples) e insira o segredo em qualquer formato. É possível armazenar até 65536 bytes no segredo. Alguns exemplos:
-
-
Em Chave de criptografia, escolha a AWS KMS key que o Secrets Manager usa para criptografar o valor secreto. Para obter mais informações, consulte Criptografia e descriptografia de segredos.
-
Para a maioria dos casos, escolha aws/secretsmanager para usar a Chave gerenciada pela AWS para o Secrets Manager. Não há custo para o uso dessa chave.
-
Se você precisar acessar o segredo de outra pessoa Conta da AWS ou se quiser usar sua própria chave KMS para poder alterná-la ou aplicar uma política de chaves a ela, escolha uma chave gerenciada pelo cliente na lista ou escolha Adicionar nova chave para criar uma. Para obter mais informações sobre os custos do uso de uma chave gerenciada pelo cliente, consulte Preços.
É necessário ter Permissões para a chave do KMS. Para obter informações sobre o acesso entre contas, consulte Acesse AWS Secrets Manager segredos de uma conta diferente.
-
-
Escolha Próximo.
-
-
Na página Configure secret (Configurar segredo), faça o seguinte:
-
Insira um Secret name (Nome de segredo) descritivo e uma Description (Descrição). Os nomes dos segredos podem conter de 1 a 512 caracteres alfanuméricos e os caracteres /_+ =.@-.
-
(Opcional) Na seção Tags, adicione tags ao segredo. Para conhecer as estratégias de marcação, consulte AWS Secrets Manager Segredos de etiquetas. Não armazene informações sigilosas em tags porque elas não são criptografadas.
-
(Opcional) Em Resource permissions (Permissões do recurso), para adicionar uma política de recursos ao segredo, escolha Edit permissions (Editar permissões). Para obter mais informações, consulte Políticas baseadas em recursos.
-
(Opcional) Em Replicar segredo, para replicar seu segredo para outro Região da AWS, escolha Replicar segredo. É possível replicar seu segredo agora ou voltar e replicá-lo mais tarde. Para obter mais informações, consulte Replicar segredos por regiões.
-
Escolha Próximo.
-
-
(Opcional) Na página Configure rotation (Configurar alternância), habilite alternância automática para os segredos. Você também pode manter a alternância desabilitada por enquanto e habilitá-la mais tarde. Para obter mais informações, consulte Alternar segredos . Escolha Próximo.
-
Na página Review (Revisar), revise os detalhes do segredo e escolha Store (Armazenar).
O Secrets Manager retorna para a lista de segredos. Se o segredo não aparecer, escolha Refresh (Atualizar).
AWS CLI
Quando você insere comandos em um shell de comando, existe o risco de o histórico de comandos ser acessado ou de utilitários terem acesso aos seus parâmetros de comando. Consulte Mitigue os riscos de usar o AWS CLI para armazenar seus segredos AWS Secrets Manager.
exemplo Crie um segredo com base nas credenciais do banco de dados em um arquivo JSON
O exemplo create-secret a seguir cria um segredo com base em credenciais em um arquivo. Para obter mais informações, consulte Carregando AWS CLI parâmetros de um arquivo no Guia AWS CLI do usuário.
Para que o Secrets Manager possa alternar o segredo, você deve se certificar de que o JSON corresponde a Estrutura JSON de um segredo.
aws secretsmanager create-secret \ --name MyTestSecret \ --secret-string file://mycreds.json
Conteúdo de mycreds.json:
{ "engine": "mysql", "username": "saanvis", "password": "EXAMPLE-PASSWORD", "host": "my-database-endpoint.us-west-2.rds.amazonaws.com", "dbname": "myDatabase", "port": "3306" }
exemplo Criar um segredo
O seguinte exemplo de create-secret cria um segredo com dois pares de chave/valor.
aws secretsmanager create-secret \ --name MyTestSecret \ --description "My test secret created with the CLI." \ --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
AWS SDK
Para criar um segredo usando um dos AWS SDKs, use a CreateSecretação. Para obter mais informações, consulte AWS SDKs.
