Replique AWS Secrets Manager segredos em todas as regiões - AWS Secrets Manager
AWS CLIAWS SDK

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Replique AWS Secrets Manager segredos em todas as regiões

Você pode replicar seus segredos em vários Regiões da AWS para oferecer suporte a aplicativos espalhados por essas regiões e atender aos requisitos regionais de acesso e baixa latência. Se precisar mais tarde, você pode promover uma réplica secreta para uma cópia autônoma e depois configurá-la para replicação independente. O Secrets Manager replica todos os dados de segredos e metadados criptografados, como etiquetas, políticas de recursos em todas as regiões especificadas.

O ARN de um segredo replicado é o mesmo do segredo primário, exceto pela região, por exemplo:

  • Segredo primário: arn:aws:secretsmanager:Region1:123456789012:secret:MySecret-a1b2c3

  • Segredo de réplica: arn:aws:secretsmanager:Region2:123456789012:secret:MySecret-a1b2c3

Para obter informações sobre preços de segredos de réplicas, consulte Definição de preços de AWS Secrets Manager.

Quando você armazena credenciais de banco de dados para um banco de dados de origem replicado para outras regiões, o segredo contém informações de conexão para o banco de dados de origem. Se você replicar o segredo, as réplicas serão cópias do segredo de origem e conterão as mesmas informações de conexão. É possível adicionar pares de chave-valor ao segredo para informações de conexão regional.

Se você habilitar a alternância para seu segredo primário, o Secrets Manager alternará o segredo na região primária e o novo valor do segredo se propagará para todos os segredos de réplica associados. Você não precisa gerenciar a alternância individualmente para todos os segredos de réplica.

Você pode replicar segredos em todas as AWS regiões habilitadas. No entanto, se você usar o Secrets Manager em AWS regiões especiais, como AWS GovCloud (US) regiões da China, só poderá configurar segredos e réplicas dentro dessas AWS regiões especializadas. Você não pode replicar um segredo em suas AWS regiões habilitadas para uma região especializada ou replicar segredos de uma região especializada para uma região comercial.

Antes que possa replicar um segredo para outra região, você deve habilitar essa região. Para obter mais informações, consulte Gerenciar regiões da AWS .

É possível usar um segredo em várias regiões sem replicá-lo chamando o endpoint do Secrets Manager na região onde o segredo está armazenado. Para uma lista de endpoints , consulte AWS Secrets Manager endpoints. Para usar a replicação para melhorar a resiliência de sua carga de trabalho, consulte Arquitetura de recuperação de desastres (DR) em AWS, Parte I: Estratégias para recuperação na nuvem.

O Secrets Manager gera uma entrada de CloudTrail registro quando você replica um segredo. Para ter mais informações, consulte AWS Secrets Manager Registre eventos com AWS CloudTrail.

Para replicar um segredo para outras regiões (console)

  1. Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Na lista de segredos, escolha o segredo.

  3. Na página de detalhes do segredo, na guia Replicação, siga um destes procedimentos:

    • Se seu segredo não for replicado, selecione Replicate secret (Replicar segredo).

    • Se seu segredo for replicado, na seção Replicate secret (Replicar segredo), selecione Add Region (Adicionar região).

  4. Na caixa de diálogo Add replica regions (Adicionar regiões para replicação), faça o seguinte:

    1. Em Região da AWS , escolha a região na qual deseja replicar o segredo.

    2. (Opcional) Para Encryption key (Chave de criptografia), escolha uma chave do KMS para criptografar o segredo. A chave deve ser criada na mesma região da réplica.

    3. (Opcional) Para adicionar outra região, selecione Add more regions (Adicionar mais regiões).

    4. Selecione Replicate (Replicar).

    Você retorna à página de detalhes do segredo. Na seção Replicate Secret (Replicar segredo), o Replication status (Status de replicação) é exibido para cada região.

AWS CLI

exemplo Replicar um segredo para outra região

O exemplo de replicate-secret-to-regions a seguir replica um segredo para eu-west-3. A réplica é criptografada com a chave AWS gerenciada aws/secretsmanager.

aws secretsmanager replicate-secret-to-regions \
        --secret-id MyTestSecret \
        --add-replica-regions Region=eu-west-3
exemplo Crie um segredo e replique-o

O exemplo a seguir cria um segredo e o replica para eu-west-3. A réplica é criptografada com a chave AWS gerenciada aws/secretsmanager.

aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
    --add-replica-regions Region=eu-west-3

AWS SDK

Para replicar um segredo, use o comando ReplicateSecretToRegions. Para ter mais informações, consulte AWS SDKs.