Replica i AWS Secrets Manager segreti in tutte le regioni - AWS Secrets Manager
AWS CLIAWS SDK

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Replica i AWS Secrets Manager segreti in tutte le regioni

Puoi replicare i tuoi segreti in più aree Regioni AWS per supportare le applicazioni distribuite in quelle regioni e soddisfare i requisiti di accesso regionali e di bassa latenza. Se necessario in un secondo momento, è possibile promuovere un segreto di replica a uno standalone e quindi configurarlo per la replica in modo indipendente. Secrets Manager replica i dati segreti crittografati e i metadati, ad esempio tag e policy delle risorse tra le Regioni specificate.

L'ARN di un segreto replicato è lo stesso del segreto principale ad eccezione della regione, ad esempio:

  • Segreto primario: arn:aws:secretsmanager:Region1:123456789012:secret:MySecret-a1b2c3

  • Segreto di replica: arn:aws:secretsmanager:Region2:123456789012:secret:MySecret-a1b2c3

Per informazioni sui prezzi dei segreti di replica, consulta Prezzi di AWS Secrets Manager.

Quando archivi le credenziali del database per un database di origine replicato in altre regioni, il segreto contiene informazioni di connessione per il database di origine. Se poi replichi il segreto, le repliche saranno copie del segreto di origine e conterranno le stesse informazioni di connessione. Puoi aggiungere altre coppie chiave/valore al segreto per le informazioni sulla connessione della regione.

Se si attiva il segreto primario per la rotazione, Secrets Manager esegue la rotazione segreta nella regione principale e il nuovo valore segreto si propaga a tutti i segreti di replica associati. Non è possibile gestire la rotazione singolarmente per tutti i segreti di replica.

È possibile replicare i segreti in tutte le regioni abilitate. AWS Tuttavia, se utilizzi Secrets Manager in AWS regioni speciali come AWS GovCloud (US) le regioni cinesi, puoi configurare i segreti e le repliche solo all'interno di queste AWS regioni specializzate. Non è possibile replicare un segreto nelle AWS regioni abilitate in una regione specializzata o replicare un segreto da una regione specializzata a una regione commerciale.

Prima di poter replicare un segreto in un'altra regione, devi abilitare tale regione. Per ulteriori informazioni, consulta Gestire AWS Regioni.

Puoi utilizzare un segreto in più regioni senza replicarlo chiamando l'endpoint di Secrets Manager nella regione in cui è archiviato il segreto. Per un elenco di endpoint, consulta AWS Secrets Manager endpoint. Per utilizzare la replica per migliorare la resilienza del carico di lavoro, consulta l'articolo Disaster Recovery (DR) Architecture on AWS, Part I: Strategies for Recovery in the Cloud.

Secrets Manager genera una voce di CloudTrail registro quando si replica un segreto. Per ulteriori informazioni, consulta Registra AWS Secrets Manager eventi con AWS CloudTrail.

Come replicare un segreto in altre regioni (console)

  1. Apri la console di Secrets Manager all'indirizzo https://console.aws.amazon.com/secretsmanager/.

  2. Dall'elenco dei segreti, scegli il segreto.

  3. Nella pagina dei dettagli del segreto, nella sezione Replica completa una delle seguenti operazioni:

    • Se il tuo segreto non viene replicato, scegli Replica il segreto.

    • Se il tuo segreto viene replicato, nella sezione Replica il segreto, scegli Aggiungi regione.

  4. Nella finestra di dialogo Aggiungi valore di registro, effettua una delle operazioni indicate di seguito:

    1. Per Regione AWS , scegli la regione in cui desideri replicare il segreto.

    2. (Opzionale) In Chiave di crittografia, scegli una chiave KMS con cui crittografare il segreto. La chiave deve trovarsi nella Regione della replica.

    3. (Facoltativo) Per aggiungere un'altra regione, scegli Aggiungi altre regioni.

    4. Scegliere Replicate (Replica).

    Torna alla pagina dei dettagli del segreto. Nella sezione Replica segreto, lo Stato di replica viene visualizzato per ogni regione.

AWS CLI

Esempio Replica di un segreto in un'altra Regione

Nell'esempio replicate-secret-to-regions seguente, un segreto viene replicato nella Regione eu-west-3. La replica è crittografata con la chiave AWS gestita aws/secretsmanager.

aws secretsmanager replicate-secret-to-regions \
        --secret-id MyTestSecret \
        --add-replica-regions Region=eu-west-3
Esempio Crea un segreto e replicalo

L'esempio seguente crea un segreto e lo replica in eu-west-3. La replica è crittografata con la chiave gestita aws/secretsmanager AWS .

aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
    --add-replica-regions Region=eu-west-3

AWS SDK

Per replicare un segreto, utilizzare il comando ReplicateSecretToRegions. Per ulteriori informazioni, consulta AWS SDK.