O que há em um segredo do Secrets Manager? - AWS Secrets Manager
MetadadosVersões secretas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O que há em um segredo do Secrets Manager?

No Secrets Manager, um segredo são informações de segredos, isto é, o valor do segredo mais alguns metadados sobre o segredo. Um valor do segredo pode ser uma string ou um binário.

Para armazenar vários valores de string em um segredo, recomendamos que você use uma string de texto JSON com pares de valores-chave, por exemplo:

{
  "host"       : "ProdServer-01.databases.example.com",
  "port"       : "8888",
  "username"   : "administrator",
  "password"   : "EXAMPLE-PASSWORD",
  "dbname"     : "MyDatabase",
  "engine"     : "mysql"
}

Para segredos do banco de dados, se você quiser ativar a rotação automática, o segredo deverá conter informações de conexão do banco de dados na estrutura JSON correta. Para ter mais informações, consulte Estrutura JSON de segredos AWS Secrets Manager.

Metadados

Os metadados de um segredo incluem:

  • Um nome do recurso da Amazon (ARN) com o seguinte formato:

    arn:aws:secretsmanager:<Region>:<AccountId>:secret:SecretName-6RandomCharacters

    O Secrets Manager inclui seis caracteres aleatórios ao final do nome do segredo para ajudar a garantir que o ARN do segredo seja único. Se o segredo original for excluído e, então, for criado um novo com o mesmo nome, os dois segredos terão ARNs diferentes, em função desses caracteres. Os usuários com acesso ao segredo antigo não terão acesso automático ao novo segredo, uma vez que os ARNs são diferentes.

  • O nome do segredo, uma descrição, uma política de recursos e etiquetas.

  • O ARN de uma chave de criptografia, e AWS KMS key que o Secrets Manager usa para criptografar e descriptografar o valor secreto. O Secrets Manager sempre armazena o texto do segredo de forma criptografada e criptografa o segredo em trânsito. Consulte Criptografia e decodificação secretas em AWS Secrets Manager.

  • Informações sobre como alternar o segredo, se você configurar a alternância. Consulte Gire segredos AWS Secrets Manager.

O Secrets Manager usa políticas de permissões do IAM para garantir que somente usuários autorizados possam acessar ou modificar um segredo. Consulte Autenticação e controle de acesso para AWS Secrets Manager.

Um segredo tem versões que contêm cópias do valor secreto criptografado. Quando você altera o valor do segredo, ou o segredo é alternado, o Secrets Manager cria uma nova versão. Consulte Versões secretas.

Você pode usar um segredo em vários Regiões da AWS replicando-o. Quando você replica um segredo, você cria uma cópia do segredo primário ou original, chamado de segredo de réplica. O segredo de réplica permanece vinculado ao segredo primário. Consulte Replique AWS Secrets Manager segredos em todas as regiões.

Consulte Crie e gerencie segredos com AWS Secrets Manager.

Versões secretas

Um segredo tem versões que contêm cópias do valor secreto criptografado. Quando você altera o valor do segredo, ou o segredo é alternado, o Secrets Manager cria uma nova versão.

O Secrets Manager não armazena um histórico linear de segredos com versões. Em vez disso, ele acompanha três versões específicas rotulando-as:

  • A versão atual - AWSCURRENT

  • A versão anterior - AWSPREVIOUS

  • A versão pendente (durante a alternância): AWSPENDING

Um segredo sempre tem uma versão rotulada AWSCURRENT, e o Secrets Manager retorna essa versão por padrão quando você recupera o valor secreto.

Você também pode rotular versões com suas próprias etiquetas update-secret-version-stageligando para AWS CLI o. É possível anexar até 20 rótulos a versões em um segredo. Duas versões do segredo não podem ter o mesmo rótulo de preparação. As versões podem ter vários rótulos.

O Secrets Manager nunca remove as versões rotuladas, mas as versões sem rótulos são consideradas obsoletas. O Secrets Manager remove versões obsoletas quando há mais de 100. O Secrets Manager não remove versões criadas há menos de 24 horas.

A figura a seguir mostra um segredo que tem versões AWS rotuladas e versões rotuladas pelo cliente. As versões sem rótulos são consideradas obsoletas e serão removidas pelo Secrets Manager em algum momento no future.

A secret that contains multiple secret versions, some with labels such as AWSCURRENT or MyLabelA, and some without labels.