Modificar um segredo - AWS Secrets Manager

Modificar um segredo

Dependendo de quem criou o segredo, você pode modificar os metadados de um segredo depois que ele for criado. Para segredos criados por outros serviços, talvez seja necessário usar o outro serviço para atualizar ou alternar o segredo.

Para determinar quem gerencia um segredo, você pode revisar o nome do segredo. Os segredos gerenciados por outros serviços são prefixados com o ID do respectivo serviço. Como alternativa, no AWS CLI, chame describe-secret e revise o campo OwningService. Para mais informações, consulte Segredos gerenciados por outros serviços da AWS.

Para os segredos que você gerencia, é possível modificar a descrição, a política baseada em recursos, a chave de criptografia e as etiquetas. Você também pode alterar o valor do segredo criptografado; entretanto, recomendamos usar alternância para atualizar os valores dos segredo que contêm credenciais. A alternância atualiza o segredo no Secrets Manager e as credenciais no banco de dados ou serviço. Isso mantém o segredo sincronizado automaticamente para que, quando solicitarem um valor de segredo, os clientes sempre obtenham um conjunto de credenciais que funcionam. Para mais informações, consulte Alternar segredos do AWS Secrets Manager.

Para atualizar um segredo que você gerencia (console)

  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Na lista de segredos, escolha o segredo.

  3. Na página de detalhes do segredo, siga um destes procedimentos:

    • Para atualizar a descrição, na seção Secrets details (Detalhes dos segredos), escolha Actions (Ações) e, em seguida, Edit description (Editar descrição).

    • Para atualizar a chave de criptografia, na seção Secrets details (Detalhes dos segredos), escolha Actions (Ações) e, em seguida, Edit encryption key (Editar chave de criptografia). Consulte Criptografia e descriptografia de segredos.

    • Para atualizar etiquetas, na seção Tags (Etiquetas), escolha Edit (Editar). Consulte Etiquetar segredos.

    • Para atualizar o valor do segredo, na seção Secret value (Valor do segredo), escolha Retrieve secret value (Recuperar valor do segredo) e, em seguida, Edit (Editar).

      O Secrets Manager cria uma nova versão do segredo com o rótulo de preparação AWSCURRENT. Você ainda pode acessar a versão antiga. Na CLI, use a ação get-secret-value com version-id AWSPREVIOUS.

    • Para atualizar a alternância do segredo, escolha Edit rotation (Editar alternância). Consulte Alternar segredos do AWS Secrets Manager.

    • Para atualizar permissões para o segredo, escolha Edit permissions (Editar permissões). Consulte Anexar uma política de permissões a um segredo.

    • Para replicar seu segredo para outras regiões, consulte Replicar um segredo para outras regiões.

    • Se seu segredo tiver réplicas, você pode trocar a chave de criptografia de uma réplica. Na seção Replicate secret (Replicar segredo), selecione o botão de opção para a réplica e, em seguida, no menu Actions (Ações), selecione Edit encryption key (Editar chave de criptografia). Consulte Criptografia e descriptografia de segredos.

AWS CLI

Para atualizar um segredo usando a AWS CLI, use a operação update-secret ou put-secret-value. Para marcar um segredo, consulte Etiquetar segredos.

exemplo Exemplo: Atualizar a descrição do segredo

O exemplo a seguir adiciona ou substitui a descrição pela do parâmetro --description.

$ aws secretsmanager update-secret --secret-id production/MyAwesomeAppSecret --description 'This is the description I want to attach to the secret.' { "ARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:production/MyAwesomeAppSecret-AbCdEf", "Name": "production/MyAwesomeAppSecret", "VersionId": "EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE" }

exemplo Exemplo: Atualizar a chave de criptografia

O exemplo a seguir adiciona ou substitui a chave de criptografia desse segredo.

Quando você altera a chave de criptografia, o Secrets Manager criptografa novamente versões do segredo que têm os rótulos de preparação AWSCURRENT, AWSPENDING e AWSPREVIOUS com a nova chave de criptografia. Quando o valor do segredo mudar, o Secrets Manager também o criptografará com a nova chave. Você pode usar a chave antiga ou a nova para descriptografar o segredo, quando recuperá-lo.

$ aws secretsmanager update-secret --secret-id production/MyAwesomeAppSecret --kms-key-id arn:aws:kms:Region:AccountId:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE

exemplo Exemplo: Atualizar o valor do segredo

Quando você atualiza o valor de um segredo, o Secrets Manager cria uma nova versão com o rótulo de preparação AWSCURRENT e move o rótulo de preparação AWSPREVIOUS para a versão que anteriormente tinha o rótulo AWSCURRENT.

Recomendamos que você evite chamar PutSecretValue ou UpdateSecret em uma frequência sustentada de mais de uma vez a cada dez minutos. Quando você chama PutSecretValue ou UpdateSecret para atualizar o valor do segredo, o Secrets Manager cria uma nova versão do segredo. O Secrets Manager remove versões desatualizadas quando há mais de 100, mas não remove versões criadas há menos de 24 horas. Se você atualizar o valor do segredo mais de uma vez a cada dez minutos, criará mais versões do que o Secrets Manager remove e atingirá a cota de versões de segredos.

O seguinte exemplo de comando da AWS CLI atualiza o valor de um segredo.

$ aws secretsmanager put-secret-value --secret-id production/MyAwesomeAppSecret --secret-string '{"username":"anika","password":"EXAMPLE-PASSWORD"}' { "SecretARN": "arn:aws:secretsmanager:us-east-2:123456789012:secret:production/MyAwesomeAppSecret-AbCdEf", "SecretName": "production/MyAwesomeAppSecret", "VersionId": "EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE" }

AWS SDK

Recomendamos que você evite chamar PutSecretValue ou UpdateSecret em uma frequência sustentada de mais de uma vez a cada dez minutos. Quando você chama PutSecretValue ou UpdateSecret para atualizar o valor do segredo, o Secrets Manager cria uma nova versão do segredo. O Secrets Manager remove versões desatualizadas quando há mais de 100, mas não remove versões criadas há menos de 24 horas. Se você atualizar o valor do segredo mais de uma vez a cada dez minutos, criará mais versões do que o Secrets Manager remove e atingirá a cota de versões de segredos.

Para atualizar um segredo, use as seguintes ações: UpdateSecret, ReplicateSecretToRegions ou PutSecretValue. Para mais informações, consulte AWS SDKs.