Excluir um AWS Secrets Manager segredo - AWS Secrets Manager
AWS CLIAWS SDK

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Excluir um AWS Secrets Manager segredo

Devido à natureza crítica dos segredos, dificulta AWS Secrets Manager intencionalmente a exclusão de um segredo. O Secrets Manager não exclui segredos de imediato. Em vez disso, o Secrets Manager torna os segredos imediatamente inacessíveis e programados para exclusão após uma janela de recuperação de, no mínimo, sete dias. Até que a janela de recuperação termine, é possível recuperar um segredo excluído anteriormente. Não há cobrança para segredos que você marcou para exclusão.

Você não pode excluir um segredo primário se ele for replicado para outras regiões. Primeiramente, exclua as réplicas e, em seguida, exclua o segredo primário. Quando você exclui uma réplica, ela é excluída imediatamente.

Não é possível excluir diretamente uma versão de um segredo. Em vez disso, você remove todos os rótulos de teste da versão usando o AWS CLI ou AWS SDK. Isso marca a versão como defasada e permite que o Secrets Manager exclua automaticamente a versão em segundo plano.

Se você não sabe se um aplicativo ainda usa um segredo, você pode criar um CloudWatch alarme da Amazon para alertá-lo sobre qualquer tentativa de acessar um segredo durante a janela de recuperação. Para ter mais informações, consulte Monitore quando AWS Secrets Manager os segredos programados para exclusão são acessados.

Para excluir um segredo, você precisa ter permissões do secretsmanager:ListSecrets e do secretsmanager:DeleteSecret.

O Secrets Manager gera uma entrada de CloudTrail registro quando você exclui um segredo. Para ter mais informações, consulte AWS Secrets Manager Registre eventos com AWS CloudTrail.

Para excluir um segredo (console)

  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Na lista de segredos, escolha o segredo que você quer excluir.

  3. Na seção Secrets details (Detalhes dos segredos), escolha Actions (Ações) e, em seguida, escolha Delete secret (Excluir segredo).

  4. Na caixa de diálogo Disable secret and schedule deletion (Desabilitar segredo e programar exclusão), em Waiting period (Período de espera), insira o número de dias de espera antes que a exclusão se torne permanente. O Secrets Manager anexa um campo denominado DeletionDate e o define como a data e hora atual e soma o número de dias especificado para a janela de recuperação.

  5. Escolha Schedule deletion.

Para visualizar segredos excluídos

  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Na página Secrets (Segredos), escolha Preferences (Preferências) ( ).

  3. Na caixa de diálogo Preferências, selecione Mostrar segredos programados para exclusão e, em seguida, escolha Salvar.

Para excluir um segredo de réplica

  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Selecione o segredo primário.

  3. Na seção Replicate Secret (Replicar segredo), escolha o segredo de réplica.

  4. No menu Actions (Ações), escolha Delete Replica (Excluir réplica).

AWS CLI

exemplo Excluir um segredo

O exemplo de delete-secret a seguir exclui um segredo. Você pode recuperar o segredo restore-secretaté a data e a hora no campo de DeletionDate resposta. Para excluir um segredo que está replicado em outras regiões, primeiro remova suas réplicas com remove-regions-from-replication e então chame delete-secret.

aws secretsmanager delete-secret \
    --secret-id MyTestSecret \
    --recovery-window-in-days 7
exemplo Excluir um segredo imediatamente

O exemplo de delete-secret a seguir exclui imediatamente um segredo sem uma janela de recuperação. Não é possível recuperar esse segredo.

aws secretsmanager delete-secret \
    --secret-id MyTestSecret \
    --force-delete-without-recovery
exemplo Excluir um segredo de réplica

O exemplo de remove-regions-from-replication a seguir exclui um segredo de réplica em eu-west-3. Para excluir um segredo primário que está replicado em outras regiões, primeiro remova as réplicas e então chame delete-secret.

aws secretsmanager remove-regions-from-replication \
    --secret-id MyTestSecret \
    --remove-replica-regions eu-west-3

AWS SDK

Para excluir um segredo, use o comando DeleteSecret. Para excluir uma versão de um segredo, use o comando UpdateSecretVersionStage. Para excluir uma réplica, use o comando StopReplicationToReplica. Para ter mais informações, consulte AWS SDKs.