Replicar segredos do AWS Secrets Manager por regiões - AWS Secrets Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Replicar segredos do AWS Secrets Manager por regiões

É possível replicar seus segredos em várias Regiões da AWS para viabilizar aplicações espalhadas por essas regiões a fim de atender a requisitos de acesso regional e baixa latência. Se precisar futuramente, é possível promover um segredo de réplica a um segredo autônomo e depois configurá-lo para replicação de modo independente. O Secrets Manager replica todos os dados de segredos e metadados criptografados, como tags, políticas de recursos em todas as regiões especificadas.

O ARN de um segredo replicado é o mesmo do segredo primário, exceto pela região, por exemplo:

  • Segredo primário: arn:aws:secretsmanager:Region1:123456789012:secret:MySecret-a1b2c3

  • Segredo de réplica: arn:aws:secretsmanager:Region2:123456789012:secret:MySecret-a1b2c3

Para obter informações sobre preços de segredos de réplicas, consulte Definição de preços de AWS Secrets Manager.

Quando você armazena credenciais de banco de dados para um banco de dados de origem replicado para outras regiões, o segredo contém informações de conexão para o banco de dados de origem. Se você replicar o segredo, as réplicas serão cópias do segredo de origem e conterão as mesmas informações de conexão. É possível adicionar pares de chave-valor ao segredo para informações de conexão regional.

Se você habilitar a alternância para seu segredo primário, o Secrets Manager alternará o segredo na região primária e o novo valor do segredo se propagará para todos os segredos de réplica associados. Você não precisa gerenciar a alternância individualmente para todos os segredos de réplica.

É possível replicar segredos em todas as suas regiões da AWS habilitadas. No entanto, se você usar o Secrets Manager em regiões especiais da AWS, como AWS GovCloud (US) ou regiões da China, só poderá configurar segredos e as réplicas nessas regiões específicas da AWS. Não é possível replicar um segredo em suas regiões habilitadas da AWS para uma região especializada ou replicar segredos de uma região especializada para uma região comercial.

Antes que possa replicar um segredo para outra região, você deve habilitar essa região. Para obter mais informações, consulte Gerenciar regiões da AWS.

É possível usar um segredo em várias regiões sem replicá-lo chamando o endpoint do Secrets Manager na região onde o segredo está armazenado. Para uma lista de endpoints , consulte AWS Secrets Manager endpoints. Para usar replicação para melhorar a resiliência da workload, consulte Arquitetura de recuperação de desastres (DR)AWS, Parte I: Estratégias de recuperação na nuvem.

O Secrets Manager gera uma entrada de log do CloudTrail quando você replica um segredo. Para ter mais informações, consulte Registrar eventos do AWS Secrets Manager em log com o AWS CloudTrail.

Para replicar um segredo para outras regiões (console)
  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Na lista de segredos, escolha o segredo.

  3. Na página de detalhes do segredo, na guia Replicação, siga um destes procedimentos:

    • Se seu segredo não for replicado, selecione Replicate secret (Replicar segredo).

    • Se seu segredo for replicado, na seção Replicate secret (Replicar segredo), selecione Add Region (Adicionar região).

  4. Na caixa de diálogo Add replica regions (Adicionar regiões para replicação), faça o seguinte:

    1. Em Região da AWS, escolha a região na qual deseja replicar o segredo.

    2. (Opcional) Para Encryption key (Chave de criptografia), escolha uma chave do KMS para criptografar o segredo. A chave deve ser criada na mesma região da réplica.

    3. (Opcional) Para adicionar outra região, selecione Add more regions (Adicionar mais regiões).

    4. Selecione Replicate (Replicar).

    Você retorna à página de detalhes do segredo. Na seção Replicate Secret (Replicar segredo), o Replication status (Status de replicação) é exibido para cada região.

AWS CLI

exemplo Replicar um segredo para outra região

O exemplo de replicate-secret-to-regions a seguir replica um segredo para eu-west-3. A réplica é criptografada com a chave gerenciada aws/secretsmanager da AWS.

aws secretsmanager replicate-secret-to-regions \ --secret-id MyTestSecret \ --add-replica-regions Region=eu-west-3
exemplo Criar um segredo e replicá-lo

O exemplo a seguir cria um segredo e o replica para eu-west-3. A réplica é criptografada com a chave gerenciada aws/secretsmanager da AWS.

aws secretsmanager create-secret \ --name MyTestSecret \ --description "My test secret created with the CLI." \ --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}" --add-replica-regions Region=eu-west-3

AWS SDK

Para replicar um segredo, use o comando ReplicateSecretToRegions. Para ter mais informações, consulte AWS SDKs.