Exclusão de um segredo do AWS Secrets Manager - AWS Secrets Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Exclusão de um segredo do AWS Secrets Manager

Devido à natureza crítica dos segredos, o AWS Secrets Manager intencionalmente dificulta a exclusão de segredos. O Secrets Manager não exclui segredos de imediato. Em vez disso, o Secrets Manager torna os segredos imediatamente inacessíveis e programados para exclusão após uma janela de recuperação de, no mínimo, sete dias. Até que a janela de recuperação termine, é possível recuperar um segredo excluído anteriormente. Não há cobrança para segredos que você marcou para exclusão.

Você não pode excluir um segredo primário se ele for replicado para outras regiões. Primeiramente, exclua as réplicas e, em seguida, exclua o segredo primário. Quando você exclui uma réplica, ela é excluída imediatamente.

Não é possível excluir diretamente uma versão de um segredo. Em vez disso, remova todos os rótulos de preparação da versão usando a AWS CLI ou o SDK da AWS. Isso marca a versão como defasada e permite que o Secrets Manager exclua automaticamente a versão em segundo plano.

Se você não souber se um segredo ainda é usado por uma aplicação, poderá criar um alarme do Amazon CloudWatch para alertar sobre qualquer tentativa de acesso a um segredo durante a janela de recuperação. Para ter mais informações, consulte Monitorar quando os segredos do AWS Secrets Manager programados para exclusão são acessados.

Para excluir um segredo, você precisa ter permissões do secretsmanager:ListSecrets e do secretsmanager:DeleteSecret.

O Secrets Manager gera uma entrada de log do CloudTrail quando você exclui um segredo. Para ter mais informações, consulte Registrar eventos do AWS Secrets Manager em log com o AWS CloudTrail.

Para excluir um segredo (console)
  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Na lista de segredos, escolha o segredo que você quer excluir.

  3. Na seção Secrets details (Detalhes dos segredos), escolha Actions (Ações) e, em seguida, escolha Delete secret (Excluir segredo).

  4. Na caixa de diálogo Disable secret and schedule deletion (Desabilitar segredo e programar exclusão), em Waiting period (Período de espera), insira o número de dias de espera antes que a exclusão se torne permanente. O Secrets Manager anexa um campo denominado DeletionDate e o define como a data e hora atual e soma o número de dias especificado para a janela de recuperação.

  5. Escolha Schedule deletion.

Para visualizar segredos excluídos
  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Na página Secrets (Segredos), escolha Preferences (Preferências) ( Gear icon representing settings or configuration options. ).

  3. Na caixa de diálogo Preferências, selecione Mostrar segredos programados para exclusão e, em seguida, escolha Salvar.

Para excluir um segredo de réplica
  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Selecione o segredo primário.

  3. Na seção Replicate Secret (Replicar segredo), escolha o segredo de réplica.

  4. No menu Actions (Ações), escolha Delete Replica (Excluir réplica).

AWS CLI

exemplo Excluir um segredo

O exemplo de delete-secret a seguir exclui um segredo. É possível recuperar o segredo com restore-secret até a data e a hora no campo de resposta DeletionDate. Para excluir um segredo que está replicado em outras regiões, primeiro remova suas réplicas com remove-regions-from-replication e então chame delete-secret.

aws secretsmanager delete-secret \ --secret-id MyTestSecret \ --recovery-window-in-days 7
exemplo Excluir um segredo imediatamente

O exemplo de delete-secret a seguir exclui imediatamente um segredo sem uma janela de recuperação. Não é possível recuperar esse segredo.

aws secretsmanager delete-secret \ --secret-id MyTestSecret \ --force-delete-without-recovery
exemplo Excluir um segredo de réplica

O exemplo de remove-regions-from-replication a seguir exclui um segredo de réplica em eu-west-3. Para excluir um segredo primário que está replicado em outras regiões, primeiro remova as réplicas e então chame delete-secret.

aws secretsmanager remove-regions-from-replication \ --secret-id MyTestSecret \ --remove-replica-regions eu-west-3

AWS SDK

Para excluir um segredo, use o comando DeleteSecret. Para excluir uma versão de um segredo, use o comando UpdateSecretVersionStage. Para excluir uma réplica, use o comando StopReplicationToReplica. Para ter mais informações, consulte AWS SDKs.