Buat sebuah AWS Secrets Manager Rahasia

Rahasia dapat berupa kata sandi, seperangkat kredensyal seperti nama pengguna dan kata sandi, OAuth token, atau informasi rahasia lainnya yang Anda simpan dalam bentuk terenkripsi di Secrets Manager.

Tip

Untuk kredensyal pengguna admin Amazon RDS dan Amazon Redshift, kami sarankan Anda menggunakan rahasia terkelola. Anda membuat rahasia terkelola melalui servce pengelolaan, dan kemudian Anda dapat menggunakan rotasi terkelola.

Saat Anda menggunakan konsol untuk menyimpan kredensyal database untuk database sumber yang direplikasi ke Wilayah lain, rahasia berisi informasi koneksi untuk basis data sumber. Jika Anda kemudian mereplikasi rahasia, replika adalah salinan dari rahasia sumber dan berisi informasi koneksi yang sama. Anda dapat menambahkan pasangan kunci/nilai tambahan ke rahasia untuk informasi koneksi regional.

Untuk membuat rahasia, Anda memerlukan izin yang diberikan oleh kebijakan SecretsManagerReadWrite terkelola.

Secrets Manager menghasilkan entri CloudTrail log saat Anda membuat rahasia. Untuk informasi selengkapnya, lihat Log AWS Secrets Manager peristiwa dengan AWS CloudTrail.

Untuk membuat rahasia (konsol)

1. Buka konsol Secrets Manager di https://console.aws.amazon.com/secretsmanager/.

2. Pilih Simpan rahasia baru.

3. Pada halaman Pilih jenis rahasia, lakukan hal berikut:

   1. Untuk tipe Rahasia, lakukan salah satu hal berikut:

      • Untuk menyimpan kredensyal database, pilih jenis kredensyal database yang akan disimpan. Kemudian pilih Database dan kemudian masukkan Credentials.

      • Untuk menyimpan API kunci, token akses, kredensyal yang bukan untuk database, pilih Jenis rahasia lainnya.

        Dalam pasangan kunci/nilai, masukkan rahasia Anda dalam pasangan JSON kunci/nilai, atau pilih tab Plaintext dan masukkan rahasia dalam format apa pun. Anda dapat menyimpan hingga 65536 byte dalam rahasia. Beberapa contoh:

        API key

        Masukkan sebagai pasangan kunci/nilai:

        ClientID : my_client_id

        ClientSecret : wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

        OAuth token

        Masukkan sebagai plaintext:

        AKIAI44QH8DHBEXAMPLE

        Digital certificate

        Masukkan sebagai plaintext:

        -----BEGIN CERTIFICATE-----
        EXAMPLE
        -----END CERTIFICATE-----                                

        Private key

        Masukkan sebagai plaintext:

        –--- BEGIN PRIVATE KEY ----
        EXAMPLE
        ––-- END PRIVATE KEY –---

   2. Untuk kunci Enkripsi, pilih AWS KMS key Secrets Manager yang digunakan untuk mengenkripsi nilai rahasia. Untuk informasi selengkapnya, lihat Enkripsi rahasia dan dekripsi.

      • Untuk kebanyakan kasus, pilih aws/secretsmanager untuk menggunakan Kunci yang dikelola AWS untuk Secrets Manager Tidak ada biaya untuk menggunakan kunci ini.

      • Jika Anda perlu mengakses rahasia dari yang lain Akun AWS, atau jika Anda ingin menggunakan KMS kunci Anda sendiri sehingga Anda dapat memutarnya atau menerapkan kebijakan kunci untuk itu, pilih kunci yang dikelola pelanggan dari daftar atau pilih Tambahkan kunci baru untuk membuatnya. Untuk informasi tentang biaya penggunaan kunci yang dikelola pelanggan, lihatHarga.

        Anda harus memilikiIzin untuk kunci KMS. Untuk informasi tentang akses lintas akun, lihatAkses AWS Secrets Manager rahasia dari akun yang berbeda.

   3. Pilih Berikutnya.

4. Pada halaman Konfigurasi rahasia, lakukan hal berikut:

   1. Masukkan nama Rahasia deskriptif dan Deskripsi. Nama rahasia dapat berisi 1-512 alfanumerik dan /_+ =.@- karakter.

   2. (Opsional) Di bagian Tag, tambahkan tag ke rahasia Anda. Untuk strategi penandaan, lihatTag AWS Secrets Manager rahasia. Jangan menyimpan informasi sensitif dalam tag karena tidak dienkripsi.

   3. (Opsional) Di Izin sumber daya, untuk menambahkan kebijakan sumber daya ke rahasia Anda, pilih Edit izin. Untuk informasi selengkapnya, lihat Lampirkan kebijakan izin ke rahasia AWS Secrets Manager.

   4. (Opsional) Dalam rahasia Replikasi, untuk mereplikasi rahasia Anda ke yang lain Wilayah AWS, pilih Replikasi rahasia. Anda dapat mereplikasi rahasia Anda sekarang atau kembali dan mereplikasi nanti. Untuk informasi selengkapnya, lihat Replikasi rahasia di seluruh Wilayah.

   5. Pilih Berikutnya.

5. (Opsional) Pada halaman Konfigurasi rotasi, Anda dapat mengaktifkan rotasi otomatis. Anda juga dapat mematikan rotasi untuk saat ini dan kemudian menyalakannya nanti. Untuk informasi selengkapnya, lihat Putar rahasia. Pilih Berikutnya.

6. Pada halaman Ulasan, tinjau detail rahasia Anda, lalu pilih Store.

   Secrets Manager kembali ke daftar rahasia. Jika rahasia baru Anda tidak muncul, pilih tombol refresh.

AWS CLI

Saat Anda memasukkan perintah di shell perintah, ada risiko riwayat perintah diakses atau utilitas memiliki akses ke parameter perintah Anda. Lihat Mengurangi risiko menggunakan AWS CLI untuk menyimpan rahasia Anda AWS Secrets Manager.

contoh Buat rahasia dari kredensyal database dalam sebuah file JSON

create-secretContoh berikut membuat rahasia dari kredensyal dalam file. Untuk informasi selengkapnya, lihat Memuat AWS CLI parameter dari file di AWS CLI Panduan Pengguna.

Agar Secrets Manager dapat memutar rahasia, Anda harus memastikan JSON kecocokanJSONstruktur rahasia.

aws secretsmanager create-secret \
    --name MyTestSecret \
    --secret-string file://mycreds.json

Isi mycreds.json:

{
    "engine": "mysql",
    "username": "saanvis",
    "password": "EXAMPLE-PASSWORD",
    "host": "my-database-endpoint.us-west-2.rds.amazonaws.com",
    "dbname": "myDatabase",
    "port": "3306"
}

contoh Buat rahasia

create-secretContoh berikut menciptakan rahasia dengan dua pasangan kunci-nilai.

aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"

AWS SDK

Untuk membuat rahasia dengan menggunakan salah satu AWS SDKs, gunakan CreateSecrettindakan. Untuk informasi selengkapnya, lihat AWS SDKs.