Replicar um segredo do AWS Secrets Manager para outras Regiões da AWS - AWS Secrets Manager

Replicar um segredo do AWS Secrets Manager para outras Regiões da AWS

Você pode replicar seus segredos em várias Regiões da AWS para viabilizar aplicações espalhadas por essas regiões a fim de atender a requisitos de acesso regional e baixa latência. Se precisar futuramente, é possível promover um segredo de réplica a um segredo autônomo e depois configurá-lo para replicação de modo independente. O Secrets Manager replica todos os dados de segredos e metadados criptografados, como etiquetas, políticas de recursos em todas as regiões especificadas.

O ARN para segredos replicados mostra a região em que a réplica está, por exemplo:

  • Segredo primário: arn:aws::secretsmanager:Region1:123456789012:secret:MySecret-a1b2c3

  • Segredo de réplica: arn:aws::secretsmanager:Region2:123456789012:secret:MySecret-a1b2c3.

Para obter informações sobre preços de segredos de réplicas, consulte Definição de preços de AWS Secrets Manager.

Quando você armazena credenciais de banco de dados para um banco de dados de origem replicado para outras regiões, o segredo contém informações de conexão para o banco de dados de origem. Se você replicar o segredo, as réplicas serão cópias do segredo de origem e conterão as mesmas informações de conexão. É possível adicionar pares de chave-valor ao segredo para informações de conexão regional.

Se você habilitar a alternância para seu segredo primário, o Secrets Manager alternará o segredo na região primária e o novo valor do segredo se propagará para todos os segredos de réplica associados. Você não precisa gerenciar a alternância individualmente para todos os segredos de réplica.

Você pode replicar segredos em todas as suas regiões da AWS habilitadas. No entanto, se você usar o Secrets Manager em regiões especiais da AWS, como AWS GovCloud (US) ou regiões da China, só poderá configurar segredos e as réplicas nessas regiões específicas da AWS. Não é possível replicar um segredo em suas regiões habilitadas da AWS para uma região especializada ou replicar segredos de uma região especializada para uma região comercial.

Antes que possa replicar um segredo para outra região, você deve habilitar essa região. Para obter mais informações, consulte Gerenciar regiões da AWS.

É possível usar um segredo em várias regiões sem replicá-lo chamando o endpoint do Secrets Manager na região onde o segredo está armazenado. Para obter uma lista de endpoints, consulte os endpoints do AWS Secrets Manager. Para usar replicação para melhorar a resiliência da workload, consulte Arquitetura de recuperação de desastres (DR)AWS, Parte I: Estratégias de recuperação na nuvem.

Para replicar um segredo para outras regiões (console)

  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Na página Secrets (Segredos), escolha o segredo.

  3. Na página Secret details (Detalhes do segreto), siga um destes procedimentos:

    • Se seu segredo não for replicado, selecione Replicate secret (Replicar segredo).

    • Se seu segredo for replicado, na seção Replicate secret (Replicar segredo), selecione Add Region (Adicionar região).

  4. Na caixa de diálogo Add replica regions (Adicionar regiões para replicação), faça o seguinte:

    1. Em AWS Region (Região da AWS), escolha a região na qual você deseja replicar o segredo.

    2. (Opcional) Para Encryption key (Chave de criptografia), escolha uma chave do KMS para criptografar o segredo. A chave deve estar na região da réplica e você pode escolher a mesma chave que o segredo primário.

    3. (Opcional) Para adicionar outra região, selecione Add more regions (Adicionar mais regiões).

    4. Selecione Replicate (Replicar).

    Você retorna à página de detalhes do segredo. Na seção Replicate Secret (Replicar segredo), o Replication status (Status de replicação) é exibido para cada região. A seguir estão alguns motivos pelos quais a replicação pode falhar e como resolvê-los:

    • Com falha: existe um segredo com o mesmo nome na região selecionada. Uma opção para resolver a falha é substituir o segredo com nome duplicado na região da réplica. Selecione o menu Actions (Ações) e depois selecione Retry replication (Repetir replicação). Na caixa de diálogo Retry replication (Repetir replicação), selecione Overwrite (Substituir) e depois selecione Retry replication (Repetir replicação).

    • Com falha: não há permissões disponíveis na chave do KMS para concluir a replicação. Uma opção para solucionar a falha é atualizar as políticas de permissões para a chave do KMS, de modo que você tenha permissão do tipo kms:Decrypt.

    • Com falha: replicação do segredo apresentou falha devido a um erro de rede. Quando a rede estiver disponível, selecione o menu Actions (Ações) e depois selecione Retry replication (Repetir replicação).

    • Com falha – Você não habilitou a região onde a replicação ocorre. Para mais informações sobre como habilitar uma região, consulte Gerenciar regiões da AWS.

AWS CLI

Para replicar um segredo, use a ação replicate-secret-to-regions. O exemplo a seguir replica um segredo para o Leste dos EUA (Norte da Virgínia).

$ aws secretsmanager replicate-secret-to-regions --secret-id production/DBWest --add-replica-regions Region=us-east-1

AWS SDK

Para replicar um segredo, use o comando ReplicateSecretToRegions. Para mais informações, consulte AWS SDKs.