Criação de um segredo do AWS Secrets Manager - AWS Secrets Manager
AWS CLIAWS SDK

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação de um segredo do AWS Secrets Manager

Para armazenar chaves de API, tokens de acesso, credenciais que não sejam para bancos de dados e outros segredos no Secrets Manager, siga estas etapas. Para um segredo do Amazon ElastiCache, se você quiser ativar a alternância, será necessário armazenar o segredo na estrutura JSON esperada.

Para criar um segredo, você precisa das permissões concedidas por AWS políticas gerenciadas SecretsManagerReadWrite.

O Secrets Manager gera uma entrada de log do CloudTrail quando você cria um segredo. Para obter mais informações, consulte Registrar eventos do AWS Secrets Manager em log com o AWS CloudTrail.

Para criar um segredo (console)

  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Selecione Store a new secret (Armazenar um novo segredo).

  3. Na página Choose secret type (Selecionar tipo de segredo), faça o seguinte:

    1. Em Secret type (Tipo de segredo), escolha Other type of secret (Outro tipo de segredo).

    2. Em Key/value pairs (Pares de chave/valor), ou insira seu segredo no JSON Key/value (Chave/valor), ou escolha a guia Plaintext (Texto simples) e insira o segredo em qualquer formato. É possível armazenar até 65536 bytes no segredo.

    3. Em Chave de criptografia, escolha a AWS KMS key que o Secrets Manager usa para criptografar o valor do segredo. Para obter mais informações, consulte Criptografia e descriptografia de segredos.

      • Para a maioria dos casos, escolha aws/secretsmanager para usar a Chave gerenciada pela AWS para o Secrets Manager. Não há custo para o uso dessa chave.

      • Se você precisar acessar o segredo de outra Conta da AWS, ou se quiser usar sua própria chave do KMS para que possa alterná-la ou aplicar uma política de chaves a ela, escolha uma chave gerenciada pelo cliente na lista ou escolha Add new key (Adicionar nova chave) para criar uma. Para obter mais informações sobre os custos do uso de uma chave gerenciada pelo cliente, consulte Definição de preço.

        É necessário ter Permissões para a chave do KMS. Para obter informações sobre o acesso entre contas, consulte Permissões para segredos do AWS Secrets Manager para usuários em uma conta diferente.

    4. Escolha Next (Próximo).

  4. Na página Configure secret (Configurar segredo), faça o seguinte:

    1. Insira um Secret name (Nome de segredo) descritivo e uma Description (Descrição). Os nomes de segredos devem conter de 1 a 512 caracteres Unicode.

    2. (Opcional) Na seção Tags (Etiquetas), adicione etiquetas ao segredo. Para conhecer as estratégias de marcação, consulte Marcação de segredos do AWS Secrets Manager. Não armazene informações sigilosas em etiquetas porque elas não são criptografadas.

    3. (Opcional) Em Resource permissions (Permissões do recurso), para adicionar uma política de recursos ao segredo, escolha Edit permissions (Editar permissões). Para obter mais informações, consulte Anexo de uma política de permissões a um segredo do AWS Secrets Manager.

    4. (Opcional) Em Replicate secret (Replicar segredo), para replicar seu segredo para outra Região da AWS, selecione Replicate secret (Replicar segredo). Você pode replicar seu segredo agora ou voltar e replicá-lo mais tarde. Para obter mais informações, consulte Replicar um segredo para outras regiões.

    5. Escolha Next (Próximo).

  5. (Opcional) Na página Configure rotation (Configurar alternância), habilite alternância automática para os segredos. Você também pode manter a alternância desabilitada por enquanto e habilitá-la mais tarde. Para obter mais informações, consulte Alternar segredos. Escolha Next (Próximo).

  6. Na página Review (Revisar), revise os detalhes do segredo e escolha Store (Armazenar).

    O Secrets Manager retorna para a lista de segredos. Se o segredo não aparecer, escolha Refresh (Atualizar).

AWS CLI

Quando você insere comandos em um shell de comando, existe o risco de o histórico de comandos ser acessado ou de utilitários terem acesso aos seus parâmetros de comando. Consulte Mitigação de riscos do uso da AWS CLI para armazenar segredos do AWS Secrets Manager.

exemplo Criar um segredo

O seguinte exemplo de create-secret cria um segredo com dois pares de chave/valor.

aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
exemplo Criar um segredo com base nas credenciais em um arquivo JSON

O exemplo de create-secret a seguir cria um segredo com base em credenciais em um arquivo. Para obter mais informações, consulte Carregar os parâmetros da AWS CLI de um arquivo no Guia do usuário do AWS CLI.

aws secretsmanager create-secret \
    --name MyTestSecret \
    --secret-string file://mycreds.json

Conteúdo de mycreds.json:

{
    "username": "diegor",
    "password": "EXAMPLE-PASSWORD"
}

AWS SDK

Para criar um segredo usando um dos SDKs da AWS, use a ação CreateSecret. Para obter mais informações, consulte AWS SDKs.