Crea un AWS Secrets Manager secreto

Un secreto puede ser una contraseña, un conjunto de credenciales, como un nombre de usuario y una contraseña, un OAuth token u otra información secreta que se almacene de forma cifrada en Secrets Manager.

sugerencia

Para las credenciales del usuario administrador de Amazon RDS y Amazon Redshift, se recomienda utilizar secretos administrados. El secreto administrado se crea a través del servicio de administración, y luego se puede utilizar la rotación administrada.

Cuando se usa la consola para almacenar las credenciales de una base de datos de origen que se replica a otras regiones, el secreto contiene información de conexión para la base de datos de origen. Si luego replica el secreto, las réplicas son copias del secreto de origen y contienen la misma información de conexión. Puede añadir key/value pares adicionales al secreto para obtener información de conexión regional.

Para crear un secreto, necesita los permisos otorgados por la política SecretsManagerReadWrite administrada.

Secrets Manager genera una entrada de CloudTrail registro al crear un secreto. Para obtener más información, consulte AWS Secrets Manager Registra eventos con AWS CloudTrail.

Para crear un secreto (consola)

Abra la consola de Secrets Manager en https://console.aws.amazon.com/secretsmanager/.
Elija Almacenar un secreto nuevo.
En la página Elegir tipo de secreto, haga lo siguiente:
1. En Secret type (Tipo de secreto), haga una de estas cosas:
  - Para almacenar credenciales de base de datos, elija el tipo de credenciales de base de datos que desea almacenar. A continuación, elija la Base de datos y, luego, introduzca las Credenciales.
  - Para almacenar claves de API, tokens de acceso y credenciales que no son para bases de datos, elija Otro tipo de secreto.
    
    En Pares clave-valor, ingrese su secreto en pares Clave/valor o elija la pestaña Texto no cifrado e ingrese el secreto en cualquier formato. Puede almacenar hasta 65536 bytes en el secreto. Presentamos algunos ejemplos:
    API key
    
    Entrad por key/value parejas:
    
    ClientID : my_client_id
    
    ClientSecret : wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
    
    OAuth token
    
    Introducirlo como texto no cifrado:
    
    AKIAI44QH8DHBEXAMPLE
    
    Digital certificate
    
    Introducirlo como texto no cifrado:
    
    -----BEGIN CERTIFICATE----- EXAMPLE -----END CERTIFICATE-----
    
    Private key
    
    Introducirlo como texto no cifrado:
    
    –--- BEGIN PRIVATE KEY ---- EXAMPLE ––-- END PRIVATE KEY –---
  - Para almacenar un secreto externo gestionado por un socio de Secrets Manager, selecciona Partner secret. A continuación, elija al socio y proporcione los detalles que identifican el secreto del socio. Para obtener más información, consulte Uso de secretos externos AWS Secrets Manager gestionados para gestionar secretos de terceros.
2. En Clave de cifrado, elija la AWS KMS key que Secrets Manager utiliza para cifrar el valor secreto. Para obtener más información, consulte Cifrado y descifrado de secretos.
  - En la mayoría de los casos, elija aws/secretsmanager para usar Secrets Clave administrada de AWS Manager. No se aplica ningún cargo por el uso de esta clave.
  - Si necesita acceder al secreto desde otra Cuenta de AWS persona o si quiere usar su propia clave de KMS para poder rotarla o aplicarle una política de claves, elija una clave gestionada por el cliente de la lista o seleccione Añadir nueva clave para crear una. Para obtener información sobre los costos por usar una clave administrada por el cliente, consulte Precios.
    
    Debe tener Permisos para la clave KMS. Para más información sobre el acceso entre cuentas, consulte Accede a AWS Secrets Manager los secretos desde una cuenta diferente.
3. Elija Siguiente.
En la página Configure secret (Configurar el secreto), haga lo siguiente:
1. Ingrese un Nombre de secreto descriptivo y una Descripción. Los nombres de secretos pueden contener de 1 a 512 caracteres alfanuméricos y los caracteres /_+ =.@-.
2. (Opcional) Si se le ha creado un secreto externo, introduzca los metadatos requeridos por el socio de Secrets Manager que guarda el secreto.
3. (Opcional) En la sección Tags (Etiquetas), agregue etiquetas a su secreto. Para obtener información sobre estrategias de etiquetado, consulteEtiquetar secretos en AWS Secrets Manager. No almacene información confidencial en etiquetas porque no están cifradas.
4. (Opcional) En Resource permissions (Permisos de recursos), para agregar una política de recursos a su secreto, elija Edit permissions (Editar permisos). Para obtener más información, consulte Políticas basadas en recursos.
5. (Opcional) En Replicar secreto, para replicar tu secreto en otro Región de AWS, selecciona Replicar secreto. Puede replicar el secreto ahora o volver y replicarlo más tarde. Para obtener más información, consulte Réplica multirregión.
6. Elija Siguiente.
(Opcional) En la página Configure rotation (Configurar rotación), puede activar la rotación automática. También puede mantener la rotación desactivada por ahora y activarla más tarde. Para obtener más información, consulte Rotar secretos de . Elija Siguiente.
En la página Review (Revisar), revise los detalles del secreto y, a continuación, elija Store (Almacenar).

Secrets Manager vuelve a la lista de secretos. Si el nuevo secreto no aparece, elija el botón Refresh (Actualizar).

AWS CLI

Cuando utiliza ingresa comandos en un shell de comandos, existe el riesgo de que se acceda al historial de comandos o de que las utilidades tengan acceso a sus parámetros de comando. Consulte Mitigue los riesgos de AWS CLI utilizarlos para almacenar sus AWS Secrets Manager secretos.

ejemplo Crear un secreto a partir de credenciales de base de datos en un archivo JSON

En el siguiente ejemplo de create-secret, se crea un secreto a partir de las credenciales de un archivo. Para obtener más información, consulte Carga de AWS CLI parámetros desde un archivo en la Guía del AWS CLI usuario.

Para que Secrets Manager pueda rotar el secreto, debe asegurarse de que el JSON coincida con el Estructura JSON de un secreto.


aws secretsmanager create-secret \
    --name MyTestSecret \
    --secret-string file://mycreds.json

Contenido de mycreds.json:


{
    "engine": "mysql",
    "username": "saanvis",
    "password": "EXAMPLE-PASSWORD",
    "host": "my-database-endpoint.us-west-2.rds.amazonaws.com",
    "dbname": "myDatabase",
    "port": "3306"
}

ejemplo Creación de un secreto

En el siguiente ejemplo de create-secret se crea un secreto con dos pares clave-valor.


aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string '{"user":"diegor","password":"EXAMPLE-PASSWORD"}'

ejemplo Creación de un secreto

En el siguiente ejemplo de create-secret crea un secreto con dos etiquetas.


aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string '{"user":"diegor","password":"EXAMPLE-PASSWORD"}'  \
    --tags '[{"Key": "FirstTag", "Value": "FirstValue"}, {"Key": "SecondTag", "Value": "SecondValue"}]'

AWS SDK

Para crear un secreto mediante uno de los AWS SDKs, usa la CreateSecretacción. Para obtener más información, consulte AWS SDKs.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Rotación de un solo usuario

Qué hay en un secreto