Crea un AWS Secrets Manager secreta - AWS Secrets Manager
AWS CLIAWS SDK

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crea un AWS Secrets Manager secreta

Un secreto puede ser una contraseña, un conjunto de credenciales, como un nombre de usuario y una contraseña, un OAuth token u otra información secreta que se almacene de forma cifrada en Secrets Manager.

sugerencia

Para las credenciales de usuario administrador de Amazon RDS y Amazon Redshift, le recomendamos que utilice secretos gestionados. El secreto administrado se crea a través del servicio de administración y, a continuación, se puede usar la rotación administrada.

Cuando utiliza la consola para almacenar las credenciales de una base de datos de origen que se replica en otras regiones, el secreto contiene la información de conexión de la base de datos de origen. Si luego replica el secreto, las réplicas son copias del secreto de origen y contienen la misma información de conexión. Puede agregar pares clave/valor adicionales al secreto para obtener información de conexión regional.

Para crear un secreto, necesita los permisos otorgados por la política SecretsManagerReadWrite administrada.

Secrets Manager genera una entrada de CloudTrail registro al crear un secreto. Para obtener más información, consulte AWS Secrets Manager Registra eventos con AWS CloudTrail.

Para crear un secreto (consola)

  1. Abra la consola de Secrets Manager en https://console.aws.amazon.com/secretsmanager/.

  2. Elija Almacenar un secreto nuevo.

  3. En la página Elegir tipo de secreto, haga lo siguiente:

    1. En Secret type (Tipo de secreto), haga una de estas cosas:

      • Para almacenar las credenciales de la base de datos, elija el tipo de credenciales de la base de datos que desee almacenar. A continuación, elija la base de datos y, a continuación, introduzca las credenciales.

      • Para almacenar API claves, símbolos de acceso o credenciales que no sean para bases de datos, selecciona Otro tipo de secreto.

        En los pares clave/valor, introduce tu secreto en pares JSON clave/valor o selecciona la pestaña Texto sin formato e introduce el secreto en cualquier formato. Puede almacenar hasta 65536 bytes en el secreto. Presentamos algunos ejemplos:

        API key

        Introdúzcalos como pares clave/valor:

        ClientID : my_client_id

        ClientSecret : wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

        OAuth token

        Introduzca como texto sin formato:

        AKIAI44QH8DHBEXAMPLE

        Digital certificate

        Introduzca como texto sin formato:

        -----BEGIN CERTIFICATE-----
EXAMPLE
-----END CERTIFICATE-----
        Private key

        Introduzca como texto sin formato:

        –--- BEGIN PRIVATE KEY ----
EXAMPLE
––-- END PRIVATE KEY –---

    2. En Clave de cifrado, elija AWS KMS key que Secrets Manager utiliza para cifrar el valor secreto. Para obtener más información, consulte Cifrado y descifrado de secretos.

      • En la mayoría de los casos, elija aws/secretsmanager para usar Clave administrada de AWS para Secrets Manager. No se aplica ningún cargo por el uso de esta clave.

      • Si necesitas acceder al secreto desde otra persona Cuenta de AWS, o si quieres usar tu propia KMS clave para poder rotarla o aplicarle una política de claves, elige una clave gestionada por el cliente de la lista o selecciona Añadir nueva clave para crear una. Para obtener información sobre los costos por usar una clave administrada por el cliente, consulte Precios.

        Debe tener Permisos para la clave KMS. Para más información sobre el acceso entre cuentas, consulte Acceso AWS Secrets Manager secretos de una cuenta diferente.

    3. Elija Next (Siguiente).

  4. En la página Configure secret (Configurar el secreto), haga lo siguiente:

    1. Ingrese un Nombre de secreto descriptivo y una Descripción. Los nombres secretos pueden contener de 1 a 512 caracteres alfanuméricos y /_+ =.@-.

    2. (Opcional) En la sección Tags (Etiquetas), agregue etiquetas a su secreto. Para obtener información sobre estrategias de etiquetado, consulteEtiquetado de secretos de AWS Secrets Manager. No almacene información confidencial en etiquetas porque no están cifradas.

    3. (Opcional) En Resource permissions (Permisos de recursos), para agregar una política de recursos a su secreto, elija Edit permissions (Editar permisos). Para obtener más información, consulte Adición de una política de permisos a un secreto de AWS Secrets Manager.

    4. (Opcional) En Replicar secreto, para replicar tu secreto en otra persona Región de AWS, selecciona Replicar el secreto. Puede replicar el secreto ahora o volver y replicarlo más tarde. Para obtener más información, consulte Replica secretos en todas las regiones.

    5. Elija Next (Siguiente).

  5. (Opcional) En la página Configure rotation (Configurar rotación), puede activar la rotación automática. También puede mantener la rotación desactivada por ahora y activarla más tarde. Para obtener más información, consulte Rotar secretos de . Elija Next (Siguiente).

  6. En la página Review (Revisar), revise los detalles del secreto y, a continuación, elija Store (Almacenar).

    Secrets Manager vuelve a la lista de secretos. Si el nuevo secreto no aparece, elija el botón Refresh (Actualizar).

AWS CLI

Cuando utiliza ingresa comandos en un shell de comandos, existe el riesgo de que se acceda al historial de comandos o de que las utilidades tengan acceso a sus parámetros de comando. Consulte Reducción de los riesgos de usar AWS CLI para almacenar sus secretos de AWS Secrets Manager.

ejemplo Cree un secreto a partir de las credenciales de la base de datos en un JSON archivo

En el siguiente ejemplo de create-secret, se crea un secreto a partir de las credenciales de un archivo. Para obtener más información, consulte Carga AWS CLI parámetros de un archivo del AWS CLI Guía del usuario.

Para que Secrets Manager pueda rotar el secreto, debes asegurarte de que JSON coincida conJSONestructura de un secreto.

aws secretsmanager create-secret \
    --name MyTestSecret \
    --secret-string file://mycreds.json

Contenido de mycreds.json:

{
    "engine": "mysql",
    "username": "saanvis",
    "password": "EXAMPLE-PASSWORD",
    "host": "my-database-endpoint.us-west-2.rds.amazonaws.com",
    "dbname": "myDatabase",
    "port": "3306"
}
ejemplo Creación de un secreto

En el siguiente ejemplo de create-secret se crea un secreto con dos pares clave-valor.

aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"

AWS SDK

Para crear un secreto mediante uno de los AWS SDKs, usa la CreateSecretacción. Para obtener más información, consulte AWS SDKs.