Criar um segredo - AWS Secrets Manager

Criar um segredo

Para armazenar chaves de API, tokens de acesso, credenciais que não sejam para bancos de dados e outros segredos no Secrets Manager, siga estas etapas.

Para criar um segredo, você precisa das permissões concedidas por AWS managed policy SecretsManagerReadWrite.

Para criar um segredo (console)

  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Selecione Store a new secret (Armazenar um novo segredo).

  3. Na página Choose secret type (Selecionar tipo de segredo), faça o seguinte:

    1. Em Secret type (Tipo de segredo), escolha Other type of secret (Outro tipo de segredo).

    2. Em Key/value pairs (Pares de chave/valor), ou insira seu segredo em pares Key/value (Chave/valor), ou escolha a guia Plaintext (Texto simples) e insira o segredo em qualquer formato. Recomendamos JSON. É possível armazenar até 65536 bytes no segredo.

    3. Em Encryption key (Chave de criptografia), escolha a AWS KMS key que o Secrets Manager usa para criptografar o valor do segredo:

      • Para a maioria dos casos, escolha aws/secretsmanager para usar a Chave gerenciada pela AWS para o Secrets Manager. Não há custo para o uso dessa chave.

      • Se você precisar acessar o segredo de outra Conta da AWS, ou se quiser usar sua própria chave do KMS para que possa alterná-la ou aplicar uma política de chaves a ela, escolha uma chave gerenciada pelo cliente na lista ou escolha Add new key (Adicionar nova chave) para criar uma. Você será cobrado pelas chaves do KMS que criar.

        As permissões que você deve ter são as seguintes: kms:Encrypt, kms:Decrypt e kms:GenerateDataKey. Para obter informações sobre o acesso entre contas, consulte Permissões para usuários em uma conta diferente.

    4. Escolha Next (Próximo).

  4. Na página Configure secret (Configurar segredo), faça o seguinte:

    1. Insira um Secret name (Nome de segredo) descritivo e uma Description (Descrição). Os nomes de segredos devem conter de 1 a 512 caracteres Unicode.

    2. (Opcional) Na seção Tags (Etiquetas), adicione etiquetas ao segredo. Para conhecer as estratégias de marcação, consulte Etiquetar segredos. Não armazene informações sigilosas em etiquetas porque elas não são criptografadas.

    3. (Opcional) Em Resource permissions (Permissões do recurso), para adicionar uma política de recursos ao segredo, escolha Edit permissions (Editar permissões). Para mais informações, consulte Anexar uma política de permissões a um segredo.

    4. (Opcional) Em Replicate secret (Replicar segredo), para replicar seu segredo para outra Região da AWS, selecione Replicate secret (Replicar segredo). Você pode replicar seu segredo agora ou voltar e replicá-lo mais tarde. Para mais informações, consulte Replicar um segredo para outras regiões.

    5. Escolha Next (Próximo).

  5. (Opcional) Na página Configure rotation (Configurar alternância), habilite alternância automática para os segredos. Você também pode manter a alternância desabilitada por enquanto e habilitá-la mais tarde. Para mais informações, consulte Alternar segredos do . Escolha Next (Próximo).

  6. Na página Review (Revisar), revise os detalhes do segredo e escolha Store (Armazenar).

    O Secrets Manager retorna para a lista de segredos. Se o segredo não aparecer, escolha Refresh (Atualizar).

AWS CLI

Para criar um segredo usando a opção AWS CLI, crie primeiro um arquivo JSON ou um arquivo binário que contenha o segredo. Em seguida, use a operação create-secret.

Para criar um segredo

  1. Crie o segredo em um arquivo, por exemplo, um arquivo JSON denominado mycreds.json.

    { "username": "saanvi", "password": "EXAMPLE-PASSWORD" }
  2. Na AWS CLI, use o comando a seguir.

    $ aws secretsmanager create-secret --name MySecret --secret-string file://mycreds.json

    A seguir, é mostrada a saída.

    { "SecretARN": "arn:aws:secretsmanager:Region:AccountId:secret:MySecret-a1b2c3", "SecretName": "MySecret", "SecretVersionId": "EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE" }

AWS SDK

Para criar um segredo usando um dos SDKs da AWS, use a ação CreateSecret. Para mais informações, consulte AWS SDKs.