As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Crie um AWS Secrets Manager secret
Um segredo pode ser uma senha, um conjunto de credenciais, como nome de usuário e senha, um OAuth token ou outras informações secretas que você armazena de forma criptografada no Secrets Manager.
dica
Para credenciais de usuário administrador da Amazon RDS e do Amazon Redshift, recomendamos que você use segredos gerenciados. Você cria o segredo gerenciado por meio do serviço de gerenciamento e, em seguida, pode usar a rotação gerenciada.
Quando você usa o console para armazenar credenciais de banco de dados para um banco de dados de origem que é replicado para outras regiões, o segredo contém informações de conexão para o banco de dados de origem. Se você replicar o segredo, as réplicas serão cópias do segredo de origem e conterão as mesmas informações de conexão. É possível adicionar pares de chave-valor ao segredo para informações de conexão regional.
Para criar um segredo, você precisa das permissões concedidas pela política SecretsManagerReadWrite gerenciada.
O Secrets Manager gera uma entrada de CloudTrail registro quando você cria um segredo. Para obter mais informações, consulte AWS Secrets Manager Registre eventos com AWS CloudTrail.
Para criar um segredo (console)
Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/
. -
Selecione Armazenar um novo segredo.
-
Na página Selecionar tipo de segredo, faça o seguinte:
-
Para Secret type (Tipo de segredo), siga um destes procedimentos:
-
Para armazenar as credenciais do banco de dados, escolha o tipo de credenciais do banco de dados a serem armazenadas. Em seguida, escolha o banco de dados e insira as credenciais.
-
Para armazenar API chaves, tokens de acesso e credenciais que não são para bancos de dados, escolha Outro tipo de segredo.
Em pares chave/valor, insira seu segredo em pares JSON chave/valor ou escolha a guia Texto simples e insira o segredo em qualquer formato. É possível armazenar até 65536 bytes no segredo. Alguns exemplos:
-
-
Em Chave de criptografia, escolha a AWS KMS key que o Secrets Manager usa para criptografar o valor secreto. Para obter mais informações, consulte Criptografia e descriptografia de segredos.
-
Na maioria dos casos, escolha aws/secretsmanager para usar o Chave gerenciada pela AWS para Secrets Manager. Não há custo para o uso dessa chave.
-
Se você precisar acessar o segredo de outro Conta da AWS, ou se quiser usar sua própria KMS chave para poder alterná-la ou aplicar uma política de chaves a ela, escolha uma chave gerenciada pelo cliente na lista ou escolha Adicionar nova chave para criar uma. Para obter mais informações sobre os custos do uso de uma chave gerenciada pelo cliente, consulte Definição de preço.
É necessário ter Permissões para a KMS chave. Para obter informações sobre o acesso entre contas, consulte Acesso AWS Secrets Manager segredos de uma conta diferente.
-
-
Escolha Próximo.
-
-
Na página Configure secret (Configurar segredo), faça o seguinte:
-
Insira um Secret name (Nome de segredo) descritivo e uma Description (Descrição). Os nomes secretos podem conter de 1 a 512 caracteres alfanuméricos e /_+ =.@-.
-
(Opcional) Na seção Tags (Etiquetas), adicione etiquetas ao segredo. Para conhecer as estratégias de marcação, consulte Marcação de segredos do AWS Secrets Manager. Não armazene informações sigilosas em etiquetas porque elas não são criptografadas.
-
(Opcional) Em Resource permissions (Permissões do recurso), para adicionar uma política de recursos ao segredo, escolha Edit permissions (Editar permissões). Para obter mais informações, consulte Anexo de uma política de permissões a um segredo do AWS Secrets Manager.
-
(Opcional) Em Replicar segredo, para replicar seu segredo para outro Região da AWS, escolha Replicar segredo. Você pode replicar seu segredo agora ou voltar e replicá-lo mais tarde. Para obter mais informações, consulte Replique segredos em todas as regiões.
-
Escolha Próximo.
-
-
(Opcional) Na página Configure rotation (Configurar alternância), habilite alternância automática para os segredos. Você também pode manter a alternância desabilitada por enquanto e habilitá-la mais tarde. Para obter mais informações, consulte Alternar segredos . Escolha Próximo.
-
Na página Review (Revisar), revise os detalhes do segredo e escolha Store (Armazenar).
O Secrets Manager retorna para a lista de segredos. Se o segredo não aparecer, escolha Refresh (Atualizar).
AWS CLI
Quando você insere comandos em um shell de comando, existe o risco de o histórico de comandos ser acessado ou de utilitários terem acesso aos seus parâmetros de comando. Consulte Mitigação de riscos do uso da AWS CLI para armazenar segredos do AWS Secrets Manager.
exemplo Crie um segredo a partir das credenciais do banco de dados em um arquivo JSON
O exemplo de create-secret a seguir cria um segredo com base em credenciais em um arquivo. Para obter mais informações, consulte Carregando AWS CLI parâmetros de um arquivo no AWS CLI Guia do usuário.
Para que o Secrets Manager seja capaz de girar o segredo, você deve se certificar de que JSON corresponde aoJSONestrutura de um segredo.
aws secretsmanager create-secret \ --name MyTestSecret \ --secret-string file://mycreds.json
Conteúdo de mycreds.json:
{ "engine": "mysql", "username": "saanvis", "password": "EXAMPLE-PASSWORD", "host": "my-database-endpoint.us-west-2.rds.amazonaws.com", "dbname": "myDatabase", "port": "3306" }
exemplo Criar um segredo
O seguinte exemplo de create-secret cria um segredo com dois pares de chave/valor.
aws secretsmanager create-secret \ --name MyTestSecret \ --description "My test secret created with the CLI." \ --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
AWS SDK
Para criar um segredo usando um dos AWS SDKs, use a CreateSecretação. Para obter mais informações, consulte AWS SDKs.
