Conceitos básicos do AWS Secrets Manager - AWS Secrets Manager

Conceitos básicos do AWS Secrets Manager

Há muitos tipos diferentes de segredos que você pode usar em sua organização. Veja alguns deles e onde você pode armazená-los na AWS:

Conceitos do Secrets Manager

Os seguintes conceitos são importantes para entender como o Secrets Manager funciona.

Secreta

No Secrets Manager, um segredo são informações de segredos, isto é, o valor do segredo mais alguns metadados sobre o segredo. Um valor do segredo pode ser uma string ou um binário. Para armazenar vários valores de string em um segredo, recomendamos usar uma string de texto JSON com pares de chave-valor, por exemplo:

{ "host" : "ProdServer-01.databases.example.com", "port" : "8888", "username" : "administrator", "password" : "EXAMPLE-PASSWORD", "dbname" : "MyDatabase", "engine" : "mysql" }

Os metadados de um segredo incluem:

  • Um nome do recurso da Amazon (ARN) com o seguinte formato:

    arn:aws:secretsmanager:<Region>:<AccountId>:secret:SecretName-6RandomCharacters
  • O nome do segredo, uma descrição, uma política de recursos e etiquetas.

  • O ARN para uma chave de criptografia, uma AWS KMS key que o Secrets Manager usa para criptografar e descriptografar o valor do segredo. O Secrets Manager sempre armazena o texto do segredo de forma criptografada e criptografa o segredo em trânsito. Consulte Criptografia e descriptografia de segredos.

  • Informações sobre como alternar o segredo, se você configurar a alternância. Consulte Rotation.

O Secrets Manager usa políticas de permissões do IAM para garantir que apenas usuários autorizados possam acessar ou modificar o segredo. Consulte Autenticação e controle de acesso para o AWS Secrets Manager.

Um segredo tem versões que contêm cópias do valor do segredo criptografado. Quando você altera o valor do segredo, ou o segredo é alternado, o Secrets Manager cria uma nova versão. Consulte Versão.

Você pode usar um segredo em várias Regiões da AWS ao replicá-lo. Quando você replica um segredo, você cria uma cópia do segredo primário ou original, chamado de segredo de réplica. O segredo de réplica permanece vinculado ao segredo primário. Consulte Replicar um segredo do AWS Secrets Manager para outras Regiões da AWS.

Consulte Criar e gerenciar segredos com o AWS Secrets Manager.

Rotation

Alternância é o processo em que você atualiza periodicamente o segredo para dificultar o acesso de um invasor às credenciais. No Secrets Manager, você pode configurar alternância automática para seus segredos. Quando o Secrets Manager alterna um segredo, ele atualiza as credenciais no segredo e no banco de dados ou serviço. Consulte Alternar segredos do AWS Secrets Manager.

Versão

Um segredo tem versões que contêm cópias do valor do segredo criptografado. Quando você altera o valor do segredo, ou o segredo é alternado, o Secrets Manager cria uma nova versão. Um segredo sempre tem uma versão com o rótulo de preparação AWSCURRENT, que é o valor do segredo atual.

Durante a alternância, o Secrets Manager usa rótulos de preparação prévia para identificar as diferentes versões de um segredo:

  • AWSCURRENT indica a versão usada ativamente pelos clientes. Um segredo sempre tem uma versão AWSCURRENT.

  • AWSPENDING indica a versão que passará a ser AWSCURRENT quando a alternância for concluída.

  • AWSPREVIOUS indica a última versão boa conhecida, em outras palavras, a versão AWSCURRENT anterior.

O Secrets Manager defasa versões sem rótulos de preparação e as remove quando há mais de 100. O Secrets Manager não remove versões criadas há menos de 24 horas.

Quando é usada a AWS CLI ou o AWS SDK para obter o valor do segredo, é possível especificar a versão do segredo. Se você não especificar uma versão, seja por ID de versão ou rótulo de preparação, o Secrets Manager escolherá a versão com o rótulo de preparação AWSCURRENT anexado.

Você também pode anexar seu próprio rótulo de preparação prévia a uma versão, por exemplo, para indicar versões de desenvolvimento ou produção. É possível anexar até 20 rótulos de preparação a um segredo. Duas versões do segredo não podem ter o mesmo rótulo de preparação.