

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Troque a chave de criptografia por um AWS Secrets Manager segredo
<a name="manage_update-encryption-key"></a>

O Secrets Manager usa [criptografia de envelope](security-encryption.md) com AWS KMS chaves e chaves de dados para proteger cada valor secreto. Para cada segredo, é possível escolher qual chave KMS usar. Você pode usar o Chave gerenciada pela AWS **aws/secretsmanager**, ou você pode usar uma chave gerenciada pelo cliente. Na maioria dos casos, recomendamos usar a **aws/secretsmanager**, e não há custo para usá-la. Se você precisar acessar o segredo de outra pessoa Conta da AWS ou se quiser usar sua própria chave KMS para poder alterná-la ou aplicar uma política de chaves a ela, use a. chave gerenciada pelo clienteÉ necessário ter [Permissões para a chave do KMS](security-encryption.md#security-encryption-authz). Para obter mais informações sobre os custos do uso de uma chave gerenciada pelo cliente, consulte [Preços](intro.md#asm_pricing).

É possível alterar a chave de criptografia de um segredo. Por exemplo, se você quiser [acessar o segredo de outra conta](auth-and-access_examples_cross.md) e o segredo estiver atualmente criptografado usando a chave AWS gerenciada`aws/secretsmanager`, você pode mudar para uma chave gerenciada pelo cliente. 

**dica**  
Se você quiser girar seu chave gerenciada pelo cliente, recomendamos usar a rotação AWS KMS automática de chaves. Para obter mais informações, consulte [AWS KMS Chaves giratórias](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html).

Quando você altera a chave de criptografia, o Secrets Manager criptografa novamente as versões `AWSCURRENT`, `AWSPENDING` e `AWSPREVIOUS` com a nova chave. Para evitar que você fique bloqueado sem o segredo, o Secrets Manager mantém todas as versões existentes criptografadas com a chave anterior. Isso significa que é possível descriptografar as versões `AWSCURRENT`, `AWSPENDING` e `AWSPREVIOUS` com a chave anterior ou com a nova chave. Se você não tiver a permissão `kms:Decrypt` para a chave anterior, ao alterar a chave de criptografia, o Secrets Manager não poderá descriptografar as versões do segredo para recriptografá-las. Nesse caso, as versões existentes não serão criptografadas novamente.

Para fazer com que `AWSCURRENT` só possa ser descriptografado pela nova chave de criptografia, crie uma nova versão do segredo com a nova chave. Em seguida, para poder decifrar a versão do segredo `AWSCURRENT`, será necessário ter permissão para a nova chave.

Se você desativar a chave de criptografia anterior, não poderá descriptografar nenhuma versão secreta, exceto `AWSCURRENT`, `AWSPENDING` e `AWSPREVIOUS`. Se você tiver outras versões secretas rotuladas às quais deseja manter o acesso, precisará recriar essas versões com a nova chave de criptografia usando o [AWS CLI](#manage_update-encryption-key_CLI).

**Para alterar a chave de criptografia de um segredo (console)**

1. Abra o console do Secrets Manager em [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Na lista de segredos, escolha o segredo.

1. Na página de detalhes do segredo, na seção **Secrets details** (Detalhes dos segredos), selecione **Actions** (Ações) e, em seguida, selecione **Edit encryption key** (Editar chave de criptografia). 

## AWS CLI
<a name="manage_update-encryption-key_CLI"></a>

Se você alterar a chave de criptografia de um segredo e, em seguida, desativar a chave de criptografia anterior, você não conseguirá descriptografar nenhuma versão do segredo, exceto `AWSCURRENT`, `AWSPENDING` e `AWSPREVIOUS`. Se você tiver outras versões secretas rotuladas às quais deseja manter o acesso, precisará recriar essas versões com a nova chave de criptografia usando o [AWS CLI](#manage_update-encryption-key_CLI).

**Para alterar a chave de criptografia de um segredo, consulte (AWS CLI)**

1. O exemplo de [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/update-secret.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/update-secret.html) a seguir atualiza a chave do KMS usada para criptografar o valor do segredo. A chave do KMS precisa estar na mesma do segredo.

   ```
   aws secretsmanager update-secret \
         --secret-id MyTestSecret \
         --kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE
   ```

1. (Opcional) Se você tiver versões de segredos com rótulos personalizados, para recriptografá-las usando a nova chave, será necessário recriar essas versões. 

   Quando você insere comandos em um shell de comando, existe o risco de o histórico de comandos ser acessado ou de utilitários terem acesso aos seus parâmetros de comando. Consulte [Mitigue os riscos de usar o AWS CLI para armazenar seus segredos AWS Secrets Manager](security_cli-exposure-risks.md).

   1. Obtenha o valor da versão secreta.

      ```
      aws secretsmanager get-secret-value \
            --secret-id MyTestSecret \
            --version-stage MyCustomLabel
      ```

      Anote o valor do segredo.

   1. Crie uma nova versão com esse valor.

      ```
      aws secretsmanager put-secret-value \
          --secret-id testDescriptionUpdate \
          --secret-string "SecretValue" \
          --version-stages "MyCustomLabel"
      ```