O que há em um segredo do Secrets Manager?
No Secrets Manager, um segredo são informações de segredos, isto é, o valor do segredo mais alguns metadados sobre o segredo. Um valor do segredo pode ser uma string ou um binário.
Para armazenar vários valores de strings em um segredo, recomendamos usar uma string de texto JSON com pares de chave-valor, por exemplo:
{ "host" : "ProdServer-01.databases.example.com", "port" : "8888", "username" : "administrator", "password" : "EXAMPLE-PASSWORD", "dbname" : "MyDatabase", "engine" : "mysql" }
Para segredos de bancos de dados, se você quiser ativar a alternância automática, o segredo deverá conter as informações da conexão do banco de dados na estrutura JSON correta. Para ter mais informações, consulte Estrutura JSON de segredos do AWS Secrets Manager.
Metadados
Os metadados de um segredo incluem:
-
Um nome do recurso da Amazon (ARN) com o seguinte formato:
arn:aws:secretsmanager:<Region>:<AccountId>:secret:SecretName-6RandomCharactersO Secrets Manager inclui seis caracteres aleatórios ao final do nome do segredo para ajudar a garantir que o ARN do segredo seja único. Se o segredo original for excluído e, então, for criado um novo com o mesmo nome, os dois segredos terão ARNs diferentes, em função desses caracteres. Os usuários com acesso ao segredo antigo não terão acesso automático ao novo segredo, uma vez que os ARNs são diferentes.
-
O nome do segredo, uma descrição, uma política de recursos e tags.
-
O ARN para uma chave de criptografia, uma AWS KMS key que o Secrets Manager usa para criptografar e descriptografar o valor do segredo. O Secrets Manager sempre armazena o texto do segredo de forma criptografada e criptografa o segredo em trânsito. Consulte Criptografia e descriptografia de segredos no AWS Secrets Manager.
-
Informações sobre como alternar o segredo, se você configurar a alternância. Consulte Alternar segredos do AWS Secrets Manager.
O Secrets Manager usa políticas de permissões do IAM para garantir que apenas usuários autorizados possam acessar ou modificar um segredo. Consulte Autenticação e controle de acesso para o AWS Secrets Manager.
Um segredo tem versões que contêm cópias do valor do segredo criptografado. Quando você altera o valor do segredo, ou o segredo é alternado, o Secrets Manager cria uma nova versão. Consulte Versões do segredo.
É possível usar um segredo em várias Regiões da AWS ao replicá-lo. Quando você replica um segredo, você cria uma cópia do segredo primário ou original, chamado de segredo de réplica. O segredo de réplica permanece vinculado ao segredo primário. Consulte Replicar segredos do AWS Secrets Manager por regiões.
Consulte Gerenciar segredos com o AWS Secrets Manager.
Versões do segredo
Um segredo tem versões que contêm cópias do valor do segredo criptografado. Quando você altera o valor do segredo, ou o segredo é alternado, o Secrets Manager cria uma nova versão.
O Secrets Manager não armazena um histórico linear de segredos com versões. Em vez disso, ele rastreia três versões específicas, rotulando-as:
A versão atual -
AWSCURRENTA versão anterior -
AWSPREVIOUSA versão pendente (durante a alternância):
AWSPENDING
Um segredo sempre tem uma versão rotulada AWSCURRENT, e o Secrets Manager retorna essa versão por padrão quando você recupera o valor do segredo.
Você também pode rotular as versões com suas próprias etiquetas chamando update-secret-version-stage na AWS CLI. É possível anexar até 20 rótulos a versões em um segredo. Duas versões do segredo não podem ter o mesmo rótulo de preparação. As versões podem ter vários rótulos.
O Secrets Manager nunca remove as versões rotuladas, mas as versões sem rótulos são consideradas obsoletas. O Secrets Manager remove versões obsoletas quando há mais de 100. O Secrets Manager não remove versões criadas há menos de 24 horas.
A figura a seguir mostra um segredo que tem versões rotuladas AWS e versões rotuladas pelo cliente. As versões sem rótulos são consideradas obsoletas e serão removidas pelo Secrets Manager em algum momento no future.
