As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Crie um AWS Secrets Manager segredo
<a name="create_secret"></a>

Um *segredo* pode ser uma senha, um conjunto de credenciais, como nome de usuário e senha, um OAuth token ou outras informações secretas que você armazena de forma criptografada no Secrets Manager. 

**dica**  
Para credenciais de usuário administrador do Amazon RDS e do Amazon Redshift, recomendamos o uso de [segredos gerenciados](service-linked-secrets.md). Você cria o segredo gerenciado por meio do serviço de gerenciamento e, em seguida, pode usar a [alternância gerenciada](rotate-secrets_managed.md).

Quando você usa o console para armazenar credenciais de banco de dados para um banco de dados de origem replicado para outras regiões, o segredo contém informações de conexão para o banco de dados de origem. Se você replicar o segredo, as réplicas serão cópias do segredo de origem e conterão as mesmas informações de conexão. Você pode adicionar mais key/value pares ao segredo para obter informações sobre a conexão regional.

Para criar um segredo, você precisa das permissões concedidas pela [política SecretsManagerReadWrite gerenciada](reference_available-policies.md).

O Secrets Manager gera uma entrada de CloudTrail registro quando você cria um segredo. Para obter mais informações, consulte [AWS Secrets Manager Registre eventos com AWS CloudTrail](monitoring-cloudtrail.md).

**Para criar um segredo (console)**

1. Abra o console do Secrets Manager em [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Selecione **Armazenar um novo segredo**.

1. Na página **Selecionar tipo de segredo**, faça o seguinte:

   1. Para **Secret type** (Tipo de segredo), siga um destes procedimentos:
      + Para armazenar credenciais de banco de dados, escolha o tipo de credenciais de banco de dados a armazenar. Em seguida, escolha o **Banco de dados** e insira as **Credenciais**.
      + Para armazenar chaves de APIs, tokens de acesso e credenciais que não sejam para bancos de dados, escolha **Outro tipo de segredo**.

        Em **Key/value pairs** (Pares de chave/valor), ou insira seu segredo no JSON **Key/value** (Chave/valor), ou escolha a guia **Plaintext** (Texto simples) e insira o segredo em qualquer formato. É possível armazenar até 65536 bytes no segredo. Alguns exemplos:

------
#### [ API key ]

        Insira como key/value pares:

        **ClientID** : *my\$1client\$1id*

        **ClientSecret** : *wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY*

------
#### [ OAuth token ]

        Insira como texto sem formatação:

        *AKIAI44QH8DHBEXAMPLE*

------
#### [ Digital certificate ]

        Insira como texto sem formatação:

        ```
        -----BEGIN CERTIFICATE-----
        EXAMPLE
        -----END CERTIFICATE-----
        ```

------
#### [ Private key ]

        Insira como texto sem formatação:

        ```
        –--- BEGIN PRIVATE KEY ----
        EXAMPLE
        ––-- END PRIVATE KEY –---
        ```

------
      + Para armazenar segredos externos gerenciados de um parceiro do Secrets Manager, escolha **Segredo do parceiro**. Em seguida, escolha o parceiro e forneça os detalhes que identificam o segredo do parceiro. Para obter detalhes, consulte [Usando segredos externos AWS Secrets Manager gerenciados para gerenciar segredos de terceiros](managed-external-secrets.md).

   1. Em **Chave de criptografia**, escolha a AWS KMS key que o Secrets Manager usa para criptografar o valor secreto. Para obter mais informações, consulte [Criptografia e descriptografia de segredos](security-encryption.md).
      + Na maioria dos casos, escolha **aws/secretsmanager para usar o for Secrets Chave gerenciada pela AWS Manager**. Não há custo para o uso dessa chave.
      + **Se você precisar acessar o segredo de outra pessoa Conta da AWS ou se quiser usar sua própria chave KMS para poder alterná-la ou aplicar uma política de chaves a ela, escolha uma chave gerenciada pelo cliente na lista, insira o ARN da chave ou o alias ARN de uma chave gerenciada pelo cliente ou escolha Adicionar nova chave para criar uma.** Para obter mais informações sobre os custos do uso de uma chave gerenciada pelo cliente, consulte [Preços](intro.md#asm_pricing).

        É necessário ter [Permissões para a chave do KMS](security-encryption.md#security-encryption-authz). Para obter informações sobre o acesso entre contas, consulte [Acesse AWS Secrets Manager segredos de uma conta diferente](auth-and-access_examples_cross.md). 

   1. Escolha **Próximo**.

1. Na página **Configure secret** (Configurar segredo), faça o seguinte:

   1. Insira um **Secret name** (Nome de segredo) descritivo e uma **Description** (Descrição). Os nomes dos segredos podem conter de 1 a 512 caracteres alfanuméricos e os caracteres /\$1\$1 =.@-.

   1. (Opcional) Se você criou um segredo externo, insira os metadados exigidos pelo parceiro do Secrets Manager que detém o segredo.

   1. (Opcional) Na seção **Tags**, adicione tags ao segredo. Para conhecer as estratégias de marcação, consulte [Marcando segredos em AWS Secrets Manager](managing-secrets_tagging.md). Não armazene informações sigilosas em tags porque elas não são criptografadas.

   1. (Opcional) Em **Resource permissions** (Permissões do recurso), para adicionar uma política de recursos ao segredo, escolha **Edit permissions** (Editar permissões). Para obter mais informações, consulte [Políticas baseadas em recursos](auth-and-access_resource-policies.md).

   1. (Opcional) Em **Replicar segredo**, para replicar seu segredo para outro Região da AWS, escolha **Replicar** segredo. É possível replicar seu segredo agora ou voltar e replicá-lo mais tarde. Para obter mais informações, consulte [Replicação multirregional](replicate-secrets.md).

   1. Escolha **Próximo**.

1. (Opcional) Na página **Configure rotation** (Configurar alternância), habilite alternância automática para os segredos. Você também pode manter a alternância desabilitada por enquanto e habilitá-la mais tarde. Para obter mais informações, consulte [Alternar segredos ](rotating-secrets.md). Escolha **Próximo**.

1. Na página **Review** (Revisar), revise os detalhes do segredo e escolha **Store** (Armazenar).

   O Secrets Manager retorna para a lista de segredos. Se o segredo não aparecer, escolha Refresh (Atualizar).

## AWS CLI
<a name="create_secret_cli"></a>

Quando você insere comandos em um shell de comando, existe o risco de o histórico de comandos ser acessado ou de utilitários terem acesso aos seus parâmetros de comando. Consulte [Mitigue os riscos de usar o AWS CLI para armazenar seus segredos AWS Secrets Manager](security_cli-exposure-risks.md).

**Example Crie um segredo com base nas credenciais do banco de dados em um arquivo JSON**  
O exemplo [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/secretsmanager/create-secret.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/secretsmanager/create-secret.html) a seguir cria um segredo com base em credenciais em um arquivo. Para obter mais informações, consulte [Carregando AWS CLI parâmetros de um arquivo](https://docs.aws.amazon.com//cli/latest/userguide/cli-usage-parameters-file.html) no Guia AWS CLI do usuário.  
Para que o Secrets Manager possa alternar o segredo, é necessário se certificar de que o JSON corresponde a [Estrutura JSON de um segredo](reference_secret_json_structure.md).  

```
aws secretsmanager create-secret \
    --name MyTestSecret \
    --secret-string file://mycreds.json
```
Conteúdo de mycreds.json:  

```
{
    "engine": "mysql",
    "username": "saanvis",
    "password": "EXAMPLE-PASSWORD",
    "host": "my-database-endpoint.us-west-2.rds.amazonaws.com",
    "dbname": "myDatabase",
    "port": "3306"
}
```

**Example Criar um segredo**  
O seguinte exemplo de [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/secretsmanager/create-secret.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/secretsmanager/create-secret.html) cria um segredo com dois pares de chave/valor.  

```
aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string '{"user":"diegor","password":"EXAMPLE-PASSWORD"}'
```

**Example Criar um segredo**  
O exemplo de [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/create-secret.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/create-secret.html) a seguir cria um segredo com duas tags.  

```
aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string '{"user":"diegor","password":"EXAMPLE-PASSWORD"}'  \
    --tags '[{"Key": "FirstTag", "Value": "FirstValue"}, {"Key": "SecondTag", "Value": "SecondValue"}]'
```

## AWS SDK
<a name="create_secret_sdk"></a>

Para criar um segredo usando um dos AWS SDKs, use a [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)ação. Para obter mais informações, consulte [AWS SDKs](asm_access.md#asm-sdks).