As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Replique AWS Secrets Manager segredos em todas as regiões
Você pode replicar seus segredos em vários Regiões da AWS para oferecer suporte a aplicativos espalhados por essas regiões e atender aos requisitos regionais de acesso e baixa latência. Se precisar futuramente, é possível [promover um segredo de réplica a um segredo autônomo](standalone-secret.md) e depois configurá-lo para replicação de modo independente. O Secrets Manager replica todos os dados de segredos e metadados criptografados, como tags, políticas de recursos em todas as regiões especificadas.
O ARN de um segredo replicado é o mesmo do segredo primário, exceto pela região, por exemplo:
+ Segredo primário: `arn:aws:secretsmanager:Region1:123456789012:secret:MySecret-a1b2c3`
+ Segredo de réplica: `arn:aws:secretsmanager:Region2:123456789012:secret:MySecret-a1b2c3`
Para obter informações sobre preços de segredos de réplicas, consulte [Definição de preços de AWS Secrets Manager](https://aws.amazon.com/secrets-manager/pricing/).
Quando você armazena credenciais de banco de dados para um banco de dados de origem replicado para outras regiões, o segredo contém informações de conexão para o banco de dados de origem. Se você replicar o segredo, as réplicas serão cópias do segredo de origem e conterão as mesmas informações de conexão. Você pode adicionar mais key/value pares ao segredo para obter informações sobre a conexão regional.
Se você habilitar a alternância para seu segredo primário, o Secrets Manager alternará o segredo na região primária e o novo valor do segredo se propagará para todos os segredos de réplica associados. Você não precisa gerenciar a alternância individualmente para todos os segredos de réplica.
Você pode replicar segredos em todas as AWS regiões habilitadas. No entanto, se você usar o Secrets Manager em AWS regiões especiais, como AWS GovCloud (US) ou regiões da China, só poderá configurar segredos e réplicas dentro dessas AWS regiões especializadas. Você não pode replicar um segredo em suas AWS regiões habilitadas para uma região especializada ou replicar segredos de uma região especializada para uma região comercial.
Antes que possa replicar um segredo para outra região, é necessário habilitar essa região. Para obter mais informações, consulte [Gerenciar regiões da AWS .](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable)
É possível usar um segredo em várias regiões sem replicá-lo chamando o endpoint do Secrets Manager na região onde o segredo está armazenado. Para uma lista de endpoints , consulte [AWS Secrets Manager endpoints](asm_access.md#endpoints). Para usar a replicação para melhorar a resiliência de sua carga de trabalho, consulte [Arquitetura de recuperação de desastres (DR) em AWS, Parte I: Estratégias para recuperação na nuvem](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-i-strategies-for-recovery-in-the-cloud/).
O Secrets Manager gera uma entrada de CloudTrail registro quando você replica um segredo. Para obter mais informações, consulte [AWS Secrets Manager Registre eventos com AWS CloudTrail](monitoring-cloudtrail.md).
**Para replicar um segredo para outras regiões (console)**
1. Abra o console do Secrets Manager em [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Na lista de segredos, escolha o segredo.
1. Na página de detalhes do segredo, na guia **Replicação**, siga um destes procedimentos:
+ Se seu segredo não for replicado, selecione **Replicate secret** (Replicar segredo).
+ Se seu segredo for replicado, na seção **Replicate secret** (Replicar segredo), selecione **Add Region** (Adicionar região).
1. Na caixa de diálogo **Add replica regions (Adicionar regiões para replicação)**, faça o seguinte:
1. Em **Região da AWS **, escolha a região na qual deseja replicar o segredo.
1. (Opcional) Para **Encryption key (Chave de criptografia)**, escolha uma chave do KMS para criptografar o segredo. A chave deve ser criada na mesma região da réplica.
1. (Opcional) Para adicionar outra região, selecione **Add more regions** (Adicionar mais regiões).
1. Selecione **Replicate** (Replicar).
Você retorna à página de detalhes do segredo. Na seção **Replicate Secret** (Replicar segredo), o **Replication status** (Status de replicação) é exibido para cada região.
## AWS CLI
**Example Replicar um segredo para outra região**
O exemplo de [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/replicate-secret-to-regions.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/replicate-secret-to-regions.html) a seguir replica um segredo para eu-west-3. A réplica é criptografada com a chave AWS **aws/secretsmanager** gerenciada.
```
aws secretsmanager replicate-secret-to-regions \
--secret-id MyTestSecret \
--add-replica-regions Region=eu-west-3
```
**Example Criar um segredo e replicá-lo**
O [exemplo](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/create-secret.html) a seguir cria um segredo e o replica para eu-west-3. A réplica é criptografada com o. Chave gerenciada pela AWS **aws/secretsmanager**
```
aws secretsmanager create-secret \
--name MyTestSecret \
--description "My test secret created with the CLI." \
--secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
--add-replica-regions Region=eu-west-3
```
## AWS SDK
Para replicar um segredo, use o comando [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html). Para obter mais informações, consulte [AWS SDKs](asm_access.md#asm-sdks).
# Promova uma réplica secreta em uma cópia secreta autônoma em AWS Secrets Manager
Um segredo de réplica é um segredo que é replicado de um primário em outro. Região da AWS Ele tem o mesmo valor e metadados do segredo primário, mas pode ser criptografado com uma chave diferente do KMS. Uma réplica de segredo não pode ser atualizada independentemente de seu segredo primário, exceto pela sua chave de criptografia. Promover uma réplica de segredo desconecta a réplica do segredo primário e transforma a réplica do segredo em um segredo autônomo. Alterações no segredo primário não serão replicadas para o segredo autônomo.
Pode ser útil promover uma réplica de segredo para um segredo autônomo como uma solução de recuperação de desastres se o segredo primário ficar indisponível. Ou talvez promover uma réplica a um segredo autônomo se você quiser ativar a alternância para a réplica.
Se promover uma réplica, certifique-se de atualizar as aplicações correspondentes para usar o segredo autônomo.
O Secrets Manager gera uma entrada de CloudTrail registro quando você promove um segredo. Para obter mais informações, consulte [AWS Secrets Manager Registre eventos com AWS CloudTrail](monitoring-cloudtrail.md).
**Para promover um segredo de réplica (console)**
1. Faça login no Secrets Manager em [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Navegue até a região da réplica.
1. Na página **Secrets** (Segredos), selecione o segredo de réplica.
1. Na página de detalhes da réplica de segredo, escolha **Promote to standalone secret** (Promover a segredo autônomo).
1. Na caixa de diálogo **Promote replica to standalone secret** (Promover réplica a segredo autônomo), insira a região e escolha **Promote replica** (Promover réplica).
## AWS CLI
**Example Promover um segredo de réplica a um segredo primário**
O exemplo de [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html) a seguir remove o link entre um segredo de réplica e o primário. O segredo de réplica é promovido a um segredo primário na região da réplica. É necessário chamar [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/stop-replication-to-replica.html) diretamente da região da réplica.
```
aws secretsmanager stop-replication-to-replica \
--secret-id MyTestSecret
```
## AWS SDK
Para promover uma réplica a um segredo autônomo, use o comando [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_StopReplicationToReplica.html). É necessário chamar esse comando da região da réplica de segredo. Para obter mais informações, consulte [AWS SDKs](asm_access.md#asm-sdks).
# Evite a AWS Secrets Manager replicação
Como os segredos podem ser replicados usando [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html) ou quando são criados usando [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html), se você quiser impedir que os usuários repliquem segredos, recomendamos que você evite ações que contenham o parâmetro `AddReplicaRegions`. É possível usar uma instrução `Condition` em suas políticas de permissão para permitir somente ações que não adicionem regiões de réplica. Veja os exemplos de políticas a seguir para ver as instruções de condição que podem ser usadas.
**Example Impedir a permissão de replicação**
O exemplo de política a seguir mostra como permitir todas as ações que não adicionem regiões de réplica. Isso impede que os usuários repliquem segredos por meio de `ReplicateSecretToRegions` e `CreateSecret`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": "*",
"Condition": {
"Null": {
"secretsmanager:AddReplicaRegions": "true"
}
}
}
]
}
```
**Example Permitir permissão de replicação somente para regiões específicas**
A política a seguir mostra como permitir tudo o que segue:
+ Criar segredos sem replicação
+ Criar segredos com replicação para regiões somente nos Estados Unidos e no Canadá
+ Replicar segredos para regiões somente nos Estados Unidos e no Canadá
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:ReplicateSecretToRegions"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringLike": {
"secretsmanager:AddReplicaRegions": [
"us-*",
"ca-*"
]
}
}
}
]
}
```
# Solucionar problemas de AWS Secrets Manager replicação
AWS Secrets Manager a replicação pode falhar por vários motivos. Para verificar por que um segredo não foi replicado, é possível executar um dos procedimentos a seguir:
+ Chame a operação de API `DescribeSecret`.
+ Revise AWS CloudTrail os eventos
Quando ocorrer falha na replicação:
+ Se não houver versões de segredos utilizáveis, o Secrets Manager removerá o segredo da região da réplica.
+ Se houver versões de segredos replicadas com sucesso, elas permanecerão na região da réplica até que você as remova explicitamente usando a operação de API `RemoveRegionsFromReplication`.
As seções a seguir descrevem alguns motivos comuns para as falhas de replicação.
## Existe um segredo com o mesmo nome na região selecionada
Para resolver esse problema, é possível substituir o segredo com nome duplicado na região da réplica. Repita a replicação e, na caixa de diálogo **Tentar replicação novamente**, escolha **Substituir**.
## Não há permissões disponíveis na chave do KMS para concluir a replicação
O Secrets Manager primeiro descriptografa o segredo antes de criptografá-lo novamente com a nova chave do KMS na região da réplica. Se você não tiver permissão do `kms:Decrypt` para a chave de criptografia na região primária, você encontrará esse erro. Para criptografar o segredo replicado com uma chave do KMS diferente de `aws/secretsmanager`, você precisa de `kms:GenerateDataKey` e `kms:Encrypt` para a chave. Consulte [Permissões para a chave do KMS](security-encryption.md#security-encryption-authz).
## A chave do KMS foi desativada ou não foi encontrada
Se a chave de criptografia na região primária for desativada ou excluída, o Secrets Manager não poderá replicar o segredo. Esse erro pode ocorrer mesmo se você tiver alterado a chave de criptografia, se o segredo tiver [versões personalizadas rotuladas](whats-in-a-secret.md#term_version) que foram criptografadas com a chave de criptografia desativada ou excluída. Para obter informações sobre como o Secrets Manager faz criptografia, consulte [Criptografia e decodificação secretas em AWS Secrets Manager](security-encryption.md). Para contornar esse problema, é possível recriar as versões secretas para que o Secrets Manager as criptografe com a chave de criptografia atual. Para obter mais informações, consulte [Altere a chave de criptografia para um secredo](manage_update-encryption-key.md#manage_update-encryption-key_CLI). Em seguida, tente novamente a replicação.
```
aws secretsmanager put-secret-value \
--secret-id testDescriptionUpdate \
--secret-string "SecretValue" \
--version-stages "MyCustomLabel"
```
## Você não habilitou a região onde a replicação ocorre
Para obter informações sobre como habilitar uma região, consulte [Managing AWS Regions.](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) no *Guia de referência de gerenciamento de contas da AWS *.