Crie um segredo AWS Secrets Manager de banco de dados - AWS Secrets Manager
AWS CLIAWS SDK

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Crie um segredo AWS Secrets Manager de banco de dados

Após criar um usuário no Amazon RDS, Amazon Aurora, Amazon Redshift ou Amazon DocumentDB, é possível armazenar as credenciais no Secrets Manager seguindo estas etapas. Ao usar o AWS CLI ou um dos SDKs para armazenar o segredo, você deve fornecer o segredo na estrutura JSON correta. Quando você usa o console para armazenar um segredo de banco de dados, o Secrets Manager o cria automaticamente na estrutura JSON correta.

dica

Para credenciais de usuário administrador do Amazon RDS e do Amazon Redshift, recomendamos que você use segredos gerenciados. Você cria o segredo gerenciado por meio do serviço de gerenciamento e, em seguida, pode usar a rotação gerenciada.

Quando você armazena credenciais de banco de dados para um banco de dados de origem replicado para outras regiões, o segredo contém informações de conexão para o banco de dados de origem. Se você replicar o segredo, as réplicas serão cópias do segredo de origem e conterão as mesmas informações de conexão. É possível adicionar pares de chave-valor ao segredo para informações de conexão regional.

Para criar um segredo, você precisa das permissões concedidas pelo SecretsManagerReadWriteAWS políticas gerenciadas.

O Secrets Manager gera uma entrada de CloudTrail registro quando você cria um segredo. Para ter mais informações, consulte Registrar eventos do AWS Secrets Manager em log com o AWS CloudTrail.

Para criar um segredo (console)

  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Selecione Armazenar um novo segredo.

  3. Na página Choose secret type (Selecionar tipo de segredo), faça o seguinte:

    1. Em Secret type (Tipo de segredo), escolha o tipo de credenciais de banco de dados a armazenar:

      • Amazon RDS database (Banco de dados do Amazon RDS, inclui Aurora)

      • Amazon DocumentDB database (Bancos de dados do Amazon DocumentDB)

      • Armazém de dados do Amazon Redshift

    2. Em Credentials (Credenciais), insira as credenciais do banco de dados.

    3. Em Chave de criptografia, escolha a AWS KMS key que o Secrets Manager usa para criptografar o valor secreto. Para ter mais informações, consulte Criptografia e descriptografia de segredos.

      • Para a maioria dos casos, escolha aws/secretsmanager para usar a Chave gerenciada pela AWS para o Secrets Manager. Não há custo para o uso dessa chave.

      • Se você precisar acessar o segredo de outra pessoa Conta da AWS ou se quiser usar sua própria chave KMS para poder alterná-la ou aplicar uma política de chaves a ela, escolha uma chave gerenciada pelo cliente na lista ou escolha Adicionar nova chave para criar uma. Para obter mais informações sobre os custos do uso de uma chave gerenciada pelo cliente, consulte Definição de preço.

        É necessário ter Permissões para a chave do KMS. Para obter informações sobre o acesso entre contas, consulte Permissões para segredos do AWS Secrets Manager para usuários em uma conta diferente.

    4. Em Database (Banco de dados), escolha seu banco de dados.

    5. Escolha Próximo.

  4. Na página Configure secret (Configurar segredo), faça o seguinte:

    1. Insira um Secret name (Nome de segredo) descritivo e uma Description (Descrição). Os nomes de segredos devem conter de 1 a 512 caracteres Unicode.

    2. (Opcional) Na seção Tags (Etiquetas), adicione etiquetas ao segredo. Para conhecer as estratégias de marcação, consulte Marcação de segredos do AWS Secrets Manager. Não armazene informações sigilosas em etiquetas porque elas não são criptografadas.

    3. (Opcional) Em Resource permissions (Permissões do recurso), para adicionar uma política de recursos ao segredo, escolha Edit permissions (Editar permissões). Para ter mais informações, consulte Anexo de uma política de permissões a um segredo do AWS Secrets Manager.

    4. (Opcional) Em Replicar segredo, para replicar seu segredo para outro Região da AWS, escolha Replicar segredo. Você pode replicar seu segredo agora ou voltar e replicá-lo mais tarde. Para ter mais informações, consulte Replicar um segredo para outras regiões.

    5. Escolha Próximo.

  5. (Opcional) Na página Configure rotation (Configurar alternância), habilite alternância automática para os segredos. Você também pode manter a alternância desabilitada por enquanto e habilitá-la mais tarde. Para ter mais informações, consulte Alternar segredos. Escolha Próximo.

  6. Na página Review (Revisar), revise os detalhes do segredo e escolha Store (Armazenar).

    O Secrets Manager retorna para a lista de segredos. Se o segredo não aparecer, escolha Refresh (Atualizar).

AWS CLI

Quando você insere comandos em um shell de comando, existe o risco de o histórico de comandos ser acessado ou de utilitários terem acesso aos seus parâmetros de comando. Consulte Mitigação de riscos do uso da AWS CLI para armazenar segredos do AWS Secrets Manager.

exemplo Criar um segredo com base nas credenciais em um arquivo JSON

O exemplo de create-secret a seguir cria um segredo com base em credenciais em um arquivo. Para obter mais informações, consulte Carregando AWS CLI parâmetros de um arquivo no Guia AWS CLI do usuário.

Para que o Secrets Manager possa alternar o segredo, você deve se certificar de que o JSON corresponde a Estrutura JSON de um segredo.

aws secretsmanager create-secret \
    --name MyTestSecret \
    --secret-string file://mycreds.json

Conteúdo de mycreds.json:

{
    "engine": "mysql",
    "username": "saanvis",
    "password": "EXAMPLE-PASSWORD",
    "host": "my-database-endpoint.us-west-2.rds.amazonaws.com",
    "dbname": "myDatabase",
    "port": "3306"
}

AWS SDK

Para criar um segredo usando um dos AWS SDKs, use a CreateSecretação. Para ter mais informações, consulte AWS SDKs.