Replicar um segredo do AWS Secrets Manager para outras Regiões da AWS - AWS Secrets Manager
AWS CLIAWS SDKSolução de problemas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Replicar um segredo do AWS Secrets Manager para outras Regiões da AWS

Você pode replicar seus segredos em várias Regiões da AWS para viabilizar aplicações espalhadas por essas regiões a fim de atender a requisitos de acesso regional e baixa latência. Se precisar futuramente, é possível promover um segredo de réplica a um segredo autônomo e depois configurá-lo para replicação de modo independente. O Secrets Manager replica todos os dados de segredos e metadados criptografados, como etiquetas, políticas de recursos em todas as regiões especificadas.

O ARN de um segredo replicado é o mesmo do segredo primário, exceto pela região, por exemplo:

  • Segredo primário: arn:aws:secretsmanager:Region1:123456789012:secret:MySecret-a1b2c3

  • Segredo de réplica: arn:aws:secretsmanager:Region2:123456789012:secret:MySecret-a1b2c3

Para obter informações sobre preços de segredos de réplicas, consulte Definição de preços de AWS Secrets Manager.

Quando você armazena credenciais de banco de dados para um banco de dados de origem replicado para outras regiões, o segredo contém informações de conexão para o banco de dados de origem. Se você replicar o segredo, as réplicas serão cópias do segredo de origem e conterão as mesmas informações de conexão. É possível adicionar pares de chave-valor ao segredo para informações de conexão regional.

Se você habilitar a alternância para seu segredo primário, o Secrets Manager alternará o segredo na região primária e o novo valor do segredo se propagará para todos os segredos de réplica associados. Você não precisa gerenciar a alternância individualmente para todos os segredos de réplica.

Você pode replicar segredos em todas as suas regiões da AWS habilitadas. No entanto, se você usar o Secrets Manager em regiões especiais da AWS, como AWS GovCloud (US) ou regiões da China, só poderá configurar segredos e as réplicas nessas regiões específicas da AWS. Não é possível replicar um segredo em suas regiões habilitadas da AWS para uma região especializada ou replicar segredos de uma região especializada para uma região comercial.

Antes que possa replicar um segredo para outra região, você deve habilitar essa região. Para obter mais informações, consulte Gerenciar regiões da AWS.

É possível usar um segredo em várias regiões sem replicá-lo chamando o endpoint do Secrets Manager na região onde o segredo está armazenado. Para uma lista de endpoints , consulte AWS Secrets Manager endpoints. Para usar replicação para melhorar a resiliência da workload, consulte Arquitetura de recuperação de desastres (DR)AWS, Parte I: Estratégias de recuperação na nuvem.

O Secrets Manager gera uma entrada de CloudTrail registro quando você replica um segredo. Para ter mais informações, consulte Registrar eventos do AWS Secrets Manager em log com o AWS CloudTrail.

Para replicar um segredo para outras regiões (console)

  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Na lista de segredos, escolha o segredo.

  3. Na página de detalhes do segredo, na guia Replicação, siga um destes procedimentos:

    • Se seu segredo não for replicado, selecione Replicate secret (Replicar segredo).

    • Se seu segredo for replicado, na seção Replicate secret (Replicar segredo), selecione Add Region (Adicionar região).

  4. Na caixa de diálogo Add replica regions (Adicionar regiões para replicação), faça o seguinte:

    1. Em Região da AWS, escolha a região na qual deseja replicar o segredo.

    2. (Opcional) Para Encryption key (Chave de criptografia), escolha uma chave do KMS para criptografar o segredo. A chave deve ser criada na mesma região da réplica.

    3. (Opcional) Para adicionar outra região, selecione Add more regions (Adicionar mais regiões).

    4. Selecione Replicate (Replicar).

    Você retorna à página de detalhes do segredo. Na seção Replicate Secret (Replicar segredo), o Replication status (Status de replicação) é exibido para cada região.

AWS CLI

exemplo Replicar um segredo para outra região

O exemplo de replicate-secret-to-regions a seguir replica um segredo para eu-west-3. A réplica é criptografada com a chave gerenciada aws/secretsmanager da AWS.

aws secretsmanager replicate-secret-to-regions \
    --secret-id MyTestSecret \
    --add-replica-regions Region=eu-west-3

AWS SDK

Para replicar um segredo, use o comando ReplicateSecretToRegions. Para ter mais informações, consulte AWS SDKs.

Solução de problemas

A seguir, estão alguns motivos pelos quais a replicação pode falhar.

Existe um segredo com o mesmo nome na região selecionada

Para resolver esse problema, você pode substituir o segredo com nome duplicado na região da réplica. Repita a replicação e, na caixa de diálogo Tentar replicação novamente, escolha Substituir.

Não há permissões disponíveis na chave do KMS para concluir a replicação

O Secrets Manager primeiro descriptografa o segredo antes de criptografá-lo novamente com a nova chave do KMS na região da réplica. Se você não tiver permissão do kms:Decrypt para a chave de criptografia na região primária, você encontrará esse erro. Para criptografar o segredo replicado com uma chave do KMS diferente de aws/secretsmanager, você precisa de kms:GenerateDataKey e kms:Encrypt para a chave. Consulte Permissões para a chave do KMS.

A chave do KMS foi desativada ou não foi encontrada

Se a chave de criptografia na região primária for desativada ou excluída, o Secrets Manager não poderá replicar o segredo. Esse erro pode ocorrer mesmo se você tiver alterado a chave de criptografia, se o segredo tiver versões personalizadas rotuladas que foram criptografadas com a chave de criptografia desativada ou excluída. Para obter informações sobre como o Secrets Manager faz criptografia, consulte Criptografia e decodificação secretas em AWS Secrets Manager. Para contornar esse problema, você pode recriar as versões secretas para que o Secrets Manager as criptografe com a chave de criptografia atual. Para obter mais informações, consulte Altere a chave de criptografia para um secredo. Em seguida, tente novamente a replicação.

aws secretsmanager put-secret-value \
    --secret-id testDescriptionUpdate \
    --secret-string "SecretValue" \
    --version-stages "MyCustomLabel"

Você não habilitou a região onde a replicação ocorre

Para obter informações sobre como habilitar uma região, consulte Managing AWS Regions. no Guia de referência de gerenciamento de contas da AWS.