# Administración de contraseñas con Amazon RDS y AWS Secrets Manager
<a name="rds-secrets-manager"></a>

Amazon RDS se integra con Secrets Manager para administrar las contraseñas de usuario maestras de sus instancias de base de datos y clústeres de bases de datos Multi-AZ.

**Topics**
+ [Limitaciones de la integración de Secrets Manager con Amazon RDS](#rds-secrets-manager-limitations)
+ [Descripción general de la administración de contraseñas de usuarios maestros con AWS Secrets Manager](#rds-secrets-manager-overview)
+ [Ventajas de administrar las contraseñas de usuarios maestros con Secrets Manager](#rds-secrets-manager-benefits)
+ [Permisos necesarios para la integración de Secrets Manager](#rds-secrets-manager-permissions)
+ [Cumplimiento de la administración de la contraseña del usuario maestro por parte de RDS en AWS Secrets Manager](#rds-secrets-manager-auth)
+ [Administración de la contraseña de usuario maestro de una instancia de base de datos con Secrets Manager](#rds-secrets-manager-db-instance)
+ [Administración de la contraseña de usuario principal para una base de datos de inquilinos de RDS para Oracle con Secrets Manager](#rds-secrets-manager-tenant)
+ [Administración de la contraseña de usuario maestra para un clúster de base de datos Multi-AZ con Secrets Manager](#rds-secrets-manager-db-cluster)
+ [Rotación del secreto de contraseña de usuario maestro para una instancia de base de datos](#rds-secrets-manager-rotate-db-instance)
+ [Rotación del secreto de contraseña de usuario maestra para un clúster de base de datos Multi-AZ](#rds-secrets-manager-rotate-db-cluster)
+ [Visualización de los detalles de un secreto para una instancia de base de datos](#rds-secrets-manager-view-db-instance)
+ [Visualización de los detalles de un secreto para un clúster de base de datos Multi-AZ](#rds-secrets-manager-view-db-cluster)
+ [Visualización de los detalles de un secreto para una base de datos de inquilinos](#rds-secrets-manager-view-tenant)
+ [Disponibilidad en regiones y versiones](#rds-secrets-manager-availability)

## Limitaciones de la integración de Secrets Manager con Amazon RDS
<a name="rds-secrets-manager-limitations"></a>

Las siguientes funciones no admiten la administración de contraseñas de usuario maestro con Secrets Manager:
+ Crear una réplica de lectura cuando la base de datos o el clúster de base de datos de origen administran las credenciales con Secrets Manager. Esto se aplica a todos los motores de bases de datos, excepto RDS para SQL Server.
+ Implementaciones azules/verdes de Amazon RDS
+ Amazon RDS Custom
+ Cambio de Oracle Data Guard

## Descripción general de la administración de contraseñas de usuarios maestros con AWS Secrets Manager
<a name="rds-secrets-manager-overview"></a>

Con AWS Secrets Manager, puede reemplazar las credenciales con codificación rígida (incluidas las contraseñas de bases de datos), con una llamada a la API de Secrets Manager para recuperar el secreto mediante programación. Para obtener más información acerca de Secrets Manager, consulte la [Guía del usuario de AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/). 

Cuando guarda secretos de base de datos en Secrets Manager, su Cuenta de AWS incurre en cargos. Para obtener más información acerca de los precios, consulte [Precios de AWS Secrets Manager](https://aws.amazon.com/secrets-manager/pricing).

Puede especificar que RDS administre la contraseña de usuario principal en Secrets Manager para una instancia de base de datos de Amazon RDS o un clúster de base de datos multi-AZ al realizar una de las siguientes operaciones:
+ Crear una instancia de base de datos
+ Creación de un clúster de base de datos Multi-AZ
+ Creación de una base de datos de inquilinos en una CDB de RDS para Oracle
+ Modificar una instancia de base de datos
+ Modificación de un clúster de base de datos Multi-AZ
+ Modificación de una base de datos de inquilinos (solo RDS para Oracle)
+ Restauración de una instancia de base de datos desde Amazon S3
+ Restauración de una instancia de base de datos a partir de una instantánea o en un punto en el tiempo (solo RDS para Oracle)

Al especificar que RDS administre la contraseña de usuario principal en Secrets Manager, RDS genera la contraseña y la almacena en Secrets Manager. Puede interactuar directamente con el secreto para recuperar las credenciales del usuario maestro. También puede especificar una clave gestionada por el cliente para cifrar el secreto o utilizar la clave de KMS que proporciona Secrets Manager.

RDS administra la configuración del secreto y, de forma predeterminada, lo rota cada siete días. Puede modificar algunos de los ajustes, como el programa de rotación. Si elimina una instancia de base de datos que administra un secreto en Secrets Manager, también se eliminarán el secreto y los metadatos asociados.

Para conectarse a una instancia de base de datos o a un clúster de base de datos Multi-AZ con las credenciales en un secreto, puede recuperar el secreto en Secrets Manager. Para obtener más información, consulte [Recuperar secretos de AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets.html) y [Conexión a una base de datos SQL con credenciales en un secreto de AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets_jdbc.html) en la *Guía del usuario de AWS Secrets Manager*. 

## Ventajas de administrar las contraseñas de usuarios maestros con Secrets Manager
<a name="rds-secrets-manager-benefits"></a>

La administración de las contraseñas de usuarios maestros de RDS con Secrets Manager ofrece las siguientes ventajas:
+ RDS genera automáticamente las credenciales de la base de datos.
+ RDS almacena y administra automáticamente las credenciales de la base de datos en AWS Secrets Manager.
+ RDS rota las credenciales de la base de datos con regularidad, sin necesidad de realizar cambios en la aplicación.
+ Secrets Manager protege las credenciales de la base de datos del acceso humano y de la visualización en texto plano.
+ Secrets Manager permite recuperar las credenciales de la base de datos en secretos para las conexiones a bases de datos.
+ Secrets Manager permite un control detallado del acceso a las credenciales de la base de datos en secretos mediante IAM.
+ Si lo desea, puede separar el cifrado de bases de datos del cifrado de credenciales con diferentes claves de KMS.
+ Puede eliminar la administración manual y la rotación de las credenciales de la base de datos.
+ Puede monitorear fácilmente las credenciales de la base de datos con AWS CloudTrail y Amazon CloudWatch.

Para obtener más información acerca de los beneficios de Secrets Manager, consulte la [Guía del usuario de AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/).

## Permisos necesarios para la integración de Secrets Manager
<a name="rds-secrets-manager-permissions"></a>

Los usuarios deben tener los permisos necesarios para realizar las operaciones relacionadas con la integración de Secrets Manager. Puede crear políticas de IAM que concedan permisos para realizar operaciones de la API concretas en los recursos especificados que necesiten. A continuación, puede asociar esas políticas a los roles o conjuntos de permisos de IAM que necesiten esos permisos. Para obtener más información, consulte [Administración de la identidad y el acceso en Amazon RDS](UsingWithRDS.IAM.md).

Para las operaciones de creación, modificación o restauración, el usuario que especifique que Amazon RDS administra la contraseña de usuario maestro en Secrets Manager debe tener permisos para realizar las siguientes operaciones:
+ `kms:DescribeKey`
+ `secretsmanager:CreateSecret`
+ `secretsmanager:TagResource`

El permiso `kms:DescribeKey` es necesario para acceder a la clave administrada por el cliente para `MasterUserSecretKmsKeyId` y para describir `aws/secretsmanager`.

Para las operaciones de creación, modificación o restauración, el usuario que especifique la contraseña de usuario maestro en Secrets Manager debe tener permisos para realizar las siguientes operaciones:
+ `kms:Decrypt`
+ `kms:GenerateDataKey`
+ `kms:CreateGrant`

Para las operaciones de modificación, el usuario que rote la contraseña de usuario maestro en Secrets Manager debe tener permisos para realizar la siguiente operación:
+ `secretsmanager:RotateSecret`

## Cumplimiento de la administración de la contraseña del usuario maestro por parte de RDS en AWS Secrets Manager
<a name="rds-secrets-manager-auth"></a>

Puede utilizar las claves de condición de IAM para hacer que RDS administre la contraseña del usuario maestro en AWS Secrets Manager. La siguiente política no permite a los usuarios crear ni restaurar instancias de base de datos o clústeres de bases de datos o crear o modificar bases de datos de inquilinos a menos que RDS administre la contraseña del usuario principal en Secrets Manager.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": ["rds:CreateDBInstance", "rds:CreateDBCluster", "rds:RestoreDBInstanceFromS3", "rds:RestoreDBClusterFromS3",
                       "rds:RestoreDBInstanceFromDBSnapshot", "rds:RestoreDBInstanceToPointInTime", "rds:CreateTenantDatabase",
                       "rds:ModifyTenantDatabase"],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "rds:ManageMasterUserPassword": false
                }
            }
        }
    ]
}
```

------

**nota**  
Esta política aplica la administración de contraseñas en AWS Secrets Manager cuando se crea. Sin embargo, sigue pudiendo deshabilitar la integración de Secrets Manager y establecer manualmente una contraseña maestra si modifica la instancia.  
Para evitarlo, incluya `rds:ModifyDBInstance`, `rds:ModifyDBCluster` en el bloque de acciones de la política. Tenga en cuenta que esto impide que el usuario aplique más modificaciones a las instancias existentes que no tengan habilitada la integración de Secrets Manager. 

Para obtener más información sobre el uso de las claves de condición en las políticas de IAM, consulte [Claves de condición de políticas para Amazon RDS](security_iam_service-with-iam.md#UsingWithRDS.IAM.Conditions) y [Políticas de ejemplo: uso de claves de condición](UsingWithRDS.IAM.Conditions.Examples.md).

## Administración de la contraseña de usuario maestro de una instancia de base de datos con Secrets Manager
<a name="rds-secrets-manager-db-instance"></a>

Puede configurar la administración de RDS de la contraseña del usuario maestro en Secrets Manager realizando las siguientes acciones:
+ [Creación de una instancia de base de datos de Amazon RDS](USER_CreateDBInstance.md)
+ [Modificación de una instancia de base de datos de Amazon RDS](Overview.DBInstance.Modifying.md)
+ [Restauración de una copia de seguridad en una instancia de base de datos de Amazon RDS para MySQL](MySQL.Procedural.Importing.md)
+ [Restauración a una instancia de base de datos](USER_RestoreFromSnapshot.md) (solo RDS para Oracle)
+ [Restauración de una instancia de base de datos a un momento especificado para Amazon RDS](USER_PIT.md) (solo RDS para Oracle)

Puede realizar las operaciones anteriores con la consola de RDS, la AWS CLI o la API de RDS.

### Consola
<a name="rds-secrets-manager-db-instance-console"></a>

Siga las instrucciones para crear o modificar una instancia de base de datos con la consola de RDS:
+ [Creación de una instancia de base de datos](USER_CreateDBInstance.md#USER_CreateDBInstance.Creating)
+ [Modificación de una instancia de base de datos de Amazon RDS](Overview.DBInstance.Modifying.md)
+ [Importación de datos desde Amazon S3 a una nueva instancia de base de datos de MySQL](MySQL.Procedural.Importing.md#MySQL.Procedural.Importing.PerformingImport)

Al utilizar la consola de RDS para realizar una de estas operaciones, puede especificar que RDS administre la contraseña del usuario maestro en Secrets Manager. Cuando crea o restaura una instancia de base de datos, seleccione **Administrar las credenciales principales en AWS Secrets Manager** en la **Configuración de credenciales**. Cuando modifique una instancia de base de datos, seleccione **Administrar las credenciales principales en AWS Secrets Manager** en **Configuración**.

La siguiente imagen es un ejemplo de la configuración **Administrar las credenciales principales en AWS Secrets Manager** que se utiliza al crear o restaurar una instancia de base de datos.

![\[Gestión de las credenciales maestras en AWS Secrets Manager\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/secrets-manager-credential-settings-db-instance.png)


Al seleccionar esta opción, RDS genera la contraseña de usuario maestro y la administra durante todo su ciclo de vida en Secrets Manager.

![\[Gestión de las credenciales maestras en la AWS Secrets Manager seleccionada\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/secrets-manager-integration-create-db-instance.png)


Puede optar por cifrar el secreto con una clave de KMS que proporcione Secrets Manager o con la clave gestionada por el cliente que cree usted. Una vez que RDS administre las credenciales de base de datos para una instancia de base de datos, no se puede cambiar la clave de KMS utilizada para cifrar el secreto.

Puede elegir otros ajustes para cumplir con sus requisitos. Para obtener más información sobre la configuración disponible al crear una instancia de bases de datos, consulte [Configuración de instancias de base de datos](USER_CreateDBInstance.Settings.md). Para obtener más información sobre la configuración disponible al modificar una instancia de bases de datos, consulte [Configuración de instancias de base de datos](USER_ModifyInstance.Settings.md).

### AWS CLI
<a name="rds-secrets-manager-db-instance-cli"></a>

Para administrar la contraseña del usuario maestro con RDS en Secrets Manager, especifique la opción `--manage-master-user-password` en uno de los siguientes comandos AWS CLI:
+ [create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html)
+ [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html)
+ [restore-db-instance-from-s3](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-from-s3.html)
+ [restore-db-instance-from-db-snapshot](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-from-db-snapshot.html) (solo RDS para Oracle)
+ [restore-db-instance-to-point-in-time](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-to-point-in-time.html) (solo RDS para Oracle)

Al seleccionar la opción `--manage-master-user-password` en estos comandos, RDS genera la contraseña de usuario maestro y la administra durante todo su ciclo de vida en Secrets Manager.

Para cifrar el secreto, también puede especificar una clave gestionada por el cliente o utilizar la clave de KMS que proporciona Secrets Manager. Use la opción `--master-user-secret-kms-key-id` para especificar una clave administrada por el cliente. El identificador de la clave de AWS KMS es el ARN de la clave, el identificador de clave, el ARN de alias o el nombre de alias de la clave de KMS. Para especificar una clave en una Cuenta de AWS diferente, debe utilizar la clave de ARN o el alias de ARN. Una vez que RDS administre las credenciales de base de datos para una instancia de base de datos, no se puede cambiar la clave de KMS que se utiliza para cifrar el secreto.

Puede elegir otros ajustes para cumplir con sus requisitos. Para obtener más información sobre la configuración disponible al crear cada instancia de bases de datos, consulte [Configuración de instancias de base de datos](USER_CreateDBInstance.Settings.md). Para obtener más información sobre la configuración disponible al modificar cada instancia de bases de datos, consulte [Configuración de instancias de base de datos](USER_ModifyInstance.Settings.md).

En el siguiente ejemplo se crea una instancia de base de datos y se especifica que RDS administra la contraseña del usuario principal en Secrets Manager. El secreto se cifra mediante la clave de KMS que proporciona Secrets Manager.

**Example**  
Para Linux, macOS o Unix:  

```
1. aws rds create-db-instance \
2.     --db-instance-identifier mydbinstance \
3.     --engine mysql \
4.     --engine-version 8.0.39 \
5.     --db-instance-class db.r5b.large \
6.     --allocated-storage 200 \
7.     --master-username testUser \
8.     --manage-master-user-password
```
Para Windows:  

```
1. aws rds create-db-instance ^
2.     --db-instance-identifier mydbinstance ^
3.     --engine mysql ^
4.     --engine-version 8.0.39 ^
5.     --db-instance-class db.r5b.large ^
6.     --allocated-storage 200 ^
7.     --master-username testUser ^
8.     --manage-master-user-password
```

### API de RDS
<a name="rds-secrets-manager-db-instance-api"></a>

Para especificar que RDS administre la contraseña del usuario maestro en Secrets Manager, defina el parámetro `ManageMasterUserPassword` en `true` con alguna de las siguientes operaciones de la API de RDS:
+ [CreateDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html)
+ [ModifyDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html)
+ [RestoreDBInstanceFromS3](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromS3.html)
+ [RestoreDBInstanceFromSnapshot](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromSnapshot.html) (solo RDS para Oracle)
+ [RestoreDBInstanceToPointInTime](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceToPointInTime.html) (solo RDS para Oracle)

Al seleccionar el parámetro `ManageMasterUserPassword` en `true` en estos comandos, RDS genera la contraseña de usuario maestro y la administra durante todo su ciclo de vida en Secrets Manager.

Para cifrar el secreto, también puede especificar una clave gestionada por el cliente o utilizar la clave de KMS que proporciona Secrets Manager. Utilice el parámetro `MasterUserSecretKmsKeyId` para especificar una clave administrada por el cliente. El identificador de la clave de AWS KMS es el ARN de la clave, el identificador de clave, el ARN de alias o el nombre de alias de la clave de KMS. Para especificar una clave en una Cuenta de AWS diferente, debe utilizar la clave de ARN o el alias de ARN. Una vez que RDS administre las credenciales de base de datos para una instancia de base de datos, no se puede cambiar la clave de KMS que se utiliza para cifrar el secreto.

## Administración de la contraseña de usuario principal para una base de datos de inquilinos de RDS para Oracle con Secrets Manager
<a name="rds-secrets-manager-tenant"></a>

Puede configurar la administración de RDS de la contraseña del usuario maestro en Secrets Manager realizando las siguientes acciones:
+ [Añadir una base de datos de inquilinos de RDS para Oracle a su instancia de CDB](oracle-cdb-configuring.adding.pdb.md)
+ [Modificación de una base de datos de inquilinos de RDS para Oracle](oracle-cdb-configuring.modifying.pdb.md)

Puede utilizar la consola de RDS, la AWS CLI o la API de RSD para realizar las acciones anteriores.

### Consola
<a name="rds-secrets-manager-tenant-console"></a>

Siga las instrucciones para crear o modificar una base de datos de inquilinos de RDS para Oracle con la consola de RDS:
+ [Añadir una base de datos de inquilinos de RDS para Oracle a su instancia de CDB](oracle-cdb-configuring.adding.pdb.md)
+ [Modificación de una base de datos de inquilinos de RDS para Oracle](oracle-cdb-configuring.modifying.pdb.md)

Al utilizar la consola de RDS para realizar una de las siguientes operaciones, puede especificar que RDS administre la contraseña principal en Secrets Manager. Al crear una base de datos de inquilinos, seleccione **Administrar credenciales principales en AWS Secrets Manager** en **Configuración de credenciales**. Cuando modifique una base de datos de inquilinos, seleccione **Administrar las credenciales principales en AWS Secrets Manager** en **Configuración**.

La siguiente imagen es un ejemplo de la configuración de **Administrar las credenciales principales en AWS Secrets Manager** que se utiliza al crear o restaurar una base de datos de inquilino.

![\[Gestión de las credenciales maestras en AWS Secrets Manager\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/secrets-manager-credential-settings-db-instance.png)


Al seleccionar esta opción, RDS genera la contraseña de usuario maestro y la administra durante todo su ciclo de vida en Secrets Manager.

![\[Gestión de las credenciales maestras en la AWS Secrets Manager seleccionada\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/secrets-manager-integration-create-db-instance.png)


Puede optar por cifrar el secreto con una clave de KMS que proporcione Secrets Manager o con la clave gestionada por el cliente que cree usted. Una vez que RDS administre las credenciales de base de datos para una base de datos de inquilino, no se puede cambiar la clave de KMS que se utiliza para cifrar el secreto.

Puede elegir otros ajustes para cumplir con sus requisitos. Para obtener más información sobre la configuración disponible al crear una base de datos de inquilino, consulte [Configuración de instancias de base de datos](USER_CreateDBInstance.Settings.md). Para obtener más información sobre la configuración disponible al modificar una base de datos de inquilino, consulte [Configuración de instancias de base de datos](USER_ModifyInstance.Settings.md).

### AWS CLI
<a name="rds-secrets-manager-db-instance-cli"></a>

Para administrar la contraseña del usuario maestro con RDS en Secrets Manager, especifique la opción `--manage-master-user-password` en uno de los siguientes comandos AWS CLI:
+ [create-tenant-database](https://docs.aws.amazon.com/cli/latest/reference/rds/create-tenant-database.html)
+ [modify-tenant-database](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-tenant-database.html)

Al especificar la opción `--manage-master-user-password` en los comandos anteriores, RDS genera la contraseña de usuario principal y la administra durante todo su ciclo de vida en Secrets Manager.

Para cifrar el secreto, también puede especificar una clave gestionada por el cliente o utilizar la clave de KMS que proporciona Secrets Manager. Use la opción `--master-user-secret-kms-key-id` para especificar una clave administrada por el cliente. El identificador de la clave de AWS KMS es el ARN de la clave, el identificador de clave, el ARN de alias o el nombre de alias de la clave de KMS. Para especificar una clave en una Cuenta de AWS diferente, debe utilizar la clave de ARN o el alias de ARN. Una vez que RDS administre las credenciales de base de datos para una base de datos de inquilino, no se puede cambiar la clave de KMS que se utiliza para cifrar el secreto.

Puede elegir otros ajustes para cumplir con sus requisitos. Para obtener más información sobre la configuración disponible al crear una base de datos de inquilino, consulte [create-tenant-database](https://docs.aws.amazon.com/cli/latest/reference/rds/create-tenant-database.html). Para obtener más información sobre la configuración disponible al modificar una base de datos de inquilinos, consulte [modify-tenant-database](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-tenant-database.html).

En el siguiente ejemplo se crea una base de datos de inquilino de RDS para Oracle y se especifica que RDS administra la contraseña del usuario principal en Secrets Manager. El secreto se cifra mediante la clave de KMS que proporciona Secrets Manager.

**Example**  
Para Linux, macOS o Unix:  

```
1. aws rds create-tenant-database --region us-east-1 \
2.     --db-instance-identifier my-cdb-inst \
3.     --tenant-db-name mypdb2 \
4.     --master-username mypdb2-admin \
5.     --character-set-name UTF-16 \
6.     --manage-master-user-password
```
Para Windows:  

```
1. aws rds create-tenant-database --region us-east-1 ^
2.     --db-instance-identifier my-cdb-inst ^
3.     --tenant-db-name mypdb2 ^
4.     --master-username mypdb2-admin ^
5.     --character-set-name UTF-16 ^
6.     --manage-master-user-password
```

### API de RDS
<a name="rds-secrets-manager-db-instance-api"></a>

Para especificar que RDS administre la contraseña del usuario maestro en Secrets Manager, defina el parámetro `ManageMasterUserPassword` en `true` con alguna de las siguientes operaciones de la API de RDS:
+ [CreateTenantDatabase](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateTenantDatabase.html)
+ [ModifyTenantDatabase](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyTenantDatabase.html)

Al seleccionar el parámetro `ManageMasterUserPassword` en `true` en estos comandos, RDS genera la contraseña de usuario maestro y la administra durante todo su ciclo de vida en Secrets Manager.

Para cifrar el secreto, también puede especificar una clave gestionada por el cliente o utilizar la clave de KMS que proporciona Secrets Manager. Utilice el parámetro `MasterUserSecretKmsKeyId` para especificar una clave administrada por el cliente. El identificador de la clave de AWS KMS es el ARN de la clave, el identificador de clave, el ARN de alias o el nombre de alias de la clave de KMS. Para especificar una clave en una Cuenta de AWS diferente, debe utilizar la clave de ARN o el alias de ARN. Una vez que RDS administre las credenciales de base de datos para una base de datos de inquilino, no se puede cambiar la clave de KMS que se utiliza para cifrar el secreto.

## Administración de la contraseña de usuario maestra para un clúster de base de datos Multi-AZ con Secrets Manager
<a name="rds-secrets-manager-db-cluster"></a>

Puede configurar la administración de RDS de la contraseña del usuario maestro en Secrets Manager cuando realice las siguientes acciones:
+ [Creación de un clúster de base de datos multi-AZ para Amazon RDS](create-multi-az-db-cluster.md)
+ [Modificación de un clúster de base de datos multi-AZ para Amazon RDS.](modify-multi-az-db-cluster.md)

Puede utilizar la consola de RDS, la AWS CLI o la API de RSD para realizar estas acciones.

### Consola
<a name="rds-secrets-manager-db-cluster-console"></a>

Siga las instrucciones para crear o modificar un clúster de base de datos Multi-AZ con la consola de RDS:
+ [Creación de un clúster de base de datos](create-multi-az-db-cluster.md#create-multi-az-db-cluster-creating)
+ [Modificación de un clúster de base de datos multi-AZ para Amazon RDS.](modify-multi-az-db-cluster.md)

Al utilizar la consola de RDS para realizar una de estas operaciones, puede especificar que RDS administre la contraseña del usuario maestro en Secrets Manager. Para hacerlo al crear un clúster de base de datos, seleccione **Administrar las credenciales principales en AWS Secrets Manager** en **Configuración de credenciales**. Cuando modifique un clúster de base de datos, seleccione **Administrar las credenciales principales en AWS Secrets Manager** en **Configuración**.

La siguiente imagen es un ejemplo de la configuración **Administrar las credenciales principales en AWS Secrets Manager** que se utiliza al crear un clúster de base de datos.

![\[Gestión de las credenciales maestras en AWS Secrets Manager\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/secrets-manager-credential-settings.png)


Al seleccionar esta opción, RDS genera la contraseña de usuario maestra y la administra durante todo su ciclo de vida en Secrets Manager.

![\[Gestión de las credenciales maestras en la AWS Secrets Manager seleccionada\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/secrets-manager-integration-create.png)


Puede optar por cifrar el secreto con una clave de KMS que proporcione Secrets Manager o con la clave gestionada por el cliente que cree usted. Una vez que RDS administre las credenciales de la base de datos de un clúster de base de datos, no podrá cambiar la clave de KMS que se usa para cifrar el secreto.

Puede elegir otros ajustes para cumplir con sus requisitos.

Para obtener más información sobre la configuración disponible al crear un clúster de base de datos Multi-AZ, consulte [Configuración para la creación de clústeres de base de datos Multi-AZ](create-multi-az-db-cluster.md#create-multi-az-db-cluster-settings). Para obtener más información sobre la configuración disponible al modificar un clúster de base de datos Multi-AZ, consulte [Configuración para modificarlos clústeres de base de datos Multi-AZ](modify-multi-az-db-cluster.md#modify-multi-az-db-cluster-settings).

### AWS CLI
<a name="rds-secrets-manager-db-cluster-cli"></a>

Para administrar la contraseña del usuario maestro con RDS en Secrets Manager, especifique la opción `--manage-master-user-password` en uno de los siguientes comandos:
+ [create-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-cluster.html)
+ [modify-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-cluster.html)

Al especificar la opción `--manage-master-user-password` en estos comandos, RDS genera la contraseña de usuario maestro y la administra durante todo su ciclo de vida en Secrets Manager.

Para cifrar el secreto, también puede especificar una clave gestionada por el cliente o utilizar la clave de KMS que proporciona Secrets Manager. Use la opción `--master-user-secret-kms-key-id` para especificar una clave administrada por el cliente. El identificador de la clave de AWS KMS es el ARN de la clave, el identificador de clave, el ARN de alias o el nombre de alias de la clave de KMS. Para especificar una clave en una Cuenta de AWS diferente, debe utilizar la clave de ARN o el alias de ARN. Una vez que RDS administre las credenciales de la base de datos de un clúster de base de datos, no podrá cambiar la clave de KMS que se usa para cifrar el secreto.

Puede elegir otros ajustes para cumplir con sus requisitos.

Para obtener más información sobre la configuración disponible al crear un clúster de base de datos Multi-AZ, consulte [Configuración para la creación de clústeres de base de datos Multi-AZ](create-multi-az-db-cluster.md#create-multi-az-db-cluster-settings). Para obtener más información sobre la configuración disponible al modificar un clúster de base de datos Multi-AZ, consulte [Configuración para modificarlos clústeres de base de datos Multi-AZ](modify-multi-az-db-cluster.md#modify-multi-az-db-cluster-settings).

En este ejemplo se crea un clúster de base de datos Multi-AZ y se especifica que RDS administre la contraseña en Secrets Manager. El secreto se cifra mediante la clave de KMS que proporciona Secrets Manager.

**Example**  
Para Linux, macOS o Unix:  

```
 1. aws rds create-db-cluster \
 2.    --db-cluster-identifier mysql-multi-az-db-cluster \
 3.    --engine mysql \
 4.    --engine-version 8.0.39  \
 5.    --backup-retention-period 1  \
 6.    --allocated-storage 4000 \
 7.    --storage-type io1 \
 8.    --iops 10000 \
 9.    --db-cluster-instance-class db.r6gd.xlarge \
10.    --master-username testUser \
11.    --manage-master-user-password
```
Para Windows:  

```
 1. aws rds create-db-cluster ^
 2.    --db-cluster-identifier mysql-multi-az-db-cluster ^
 3.    --engine mysql ^
 4.    --engine-version 8.0.39 ^
 5.    --backup-retention-period 1 ^
 6.    --allocated-storage 4000 ^
 7.    --storage-type io1 ^
 8.    --iops 10000 ^
 9.    --db-cluster-instance-class db.r6gd.xlarge ^
10.    --master-username testUser ^
11.    --manage-master-user-password
```

### API de RDS
<a name="rds-secrets-manager-db-cluster-api"></a>

Para especificar que RDS administre la contraseña del usuario maestro en Secrets Manager, defina el parámetro `ManageMasterUserPassword` en `true` con alguna de las siguientes operaciones:
+ [CreateDBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBCluster.html)
+ [ModifyDBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBCluster.html)

Al seleccionar el parámetro `ManageMasterUserPassword` en `true` en una de estas operaciones, RDS genera la contraseña de usuario maestro y la administra durante todo su ciclo de vida en Secrets Manager.

Para cifrar el secreto, también puede especificar una clave gestionada por el cliente o utilizar la clave de KMS que proporciona Secrets Manager. Utilice el parámetro `MasterUserSecretKmsKeyId` para especificar una clave administrada por el cliente. El identificador de la clave de AWS KMS es el ARN de la clave, el identificador de clave, el ARN de alias o el nombre de alias de la clave de KMS. Para especificar una clave en una Cuenta de AWS diferente, debe utilizar la clave de ARN o el alias de ARN. Una vez que RDS administre las credenciales de la base de datos de un clúster de base de datos, no podrá cambiar la clave de KMS que se usa para cifrar el secreto.

## Rotación del secreto de contraseña de usuario maestro para una instancia de base de datos
<a name="rds-secrets-manager-rotate-db-instance"></a>

Cuando RDS rota el secreto de contraseña de usuario maestro, Secrets Manager genera una nueva versión de secreto para el secreto existente. La nueva versión del secreto contiene la nueva contraseña de usuario maestra. Amazon RDS cambia la contraseña de usuario maestro para la instancia de base de datos para que coincida con la contraseña de la nueva versión de secreto.

Puede rotar un secreto inmediatamente en lugar de esperar a que se programe una rotación. Para rotar un secreto de contraseña de un usuario maestro en Secrets Manager, modifique la instancia de base de datos. Para obtener información acerca de la modificación de una instancia de base de datos, consulte [Modificación de una instancia de base de datos de Amazon RDS](Overview.DBInstance.Modifying.md).

Puede cambiar un secreto de contraseña de usuario maestro inmediatamente con la consola de RDS, la AWS CLI de RDS o la API de RDS. La nueva contraseña siempre tiene 28 caracteres y contiene al menos una mayúscula y una minúscula, un número y un signo de puntuación. 

### Consola
<a name="rds-secrets-manager-rotate-db-instance-console"></a>

Para rotar un secreto de contraseña de usuario maestro mediante la consola de RDS, modifique la instancia de base de datos y seleccione **Rotate secret immediately** (Rotar el secreto inmediatamente) en **Settings** (Configuración).

![\[Rotación inmediata de un secreto de contraseña de usuario maestro\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/secrets-manager-integration-rotate.png)


Siga las instrucciones para modificar una instancia de base de datos con la consola de RDS en [Modificación de una instancia de base de datos de Amazon RDS](Overview.DBInstance.Modifying.md). Debe elegir **Apply immediately** (Aplicar inmediatamente) en la página de confirmación.

### AWS CLI
<a name="rds-secrets-manager-rotate-db-instance-cli"></a>

Para rotar un secreto de contraseña de usuario maestro mediante la AWS CLI, utilice el comando [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html) y especifique la opción `--rotate-master-user-password`. Debe especificar la opción `--apply-immediately` al rotar la contraseña maestra.

En este ejemplo, se rota un secreto de contraseña de usuario maestro.

**Example**  
Para Linux, macOS o Unix:  

```
1. aws rds modify-db-instance \
2.     --db-instance-identifier mydbinstance \
3.     --rotate-master-user-password \
4.     --apply-immediately
```
Para Windows:  

```
1. aws rds modify-db-instance ^
2.     --db-instance-identifier mydbinstance ^
3.     --rotate-master-user-password ^
4.     --apply-immediately
```

### API de RDS
<a name="rds-secrets-manager-rotate-db-instance-api"></a>

Puede rotar un secreto de contraseña de usuario maestro mediante la operación [ModifyDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) y configurar el parámetro `RotateMasterUserPassword` en `true`. Debe establecer el parámetro `ApplyImmediately` en `true` al rotar la contraseña maestra.

## Rotación del secreto de contraseña de usuario maestra para un clúster de base de datos Multi-AZ
<a name="rds-secrets-manager-rotate-db-cluster"></a>

Cuando RDS rota un secreto de contraseña de usuario maestro, Secrets Manager genera una nueva versión de secreto para el secreto existente. La nueva versión del secreto contiene la nueva contraseña de usuario maestra. Amazon RDS cambia la contraseña de usuario maestro para el clúster de base de datos Multi-AZ para que coincida con la contraseña de la nueva versión de secreto.

Puede rotar un secreto inmediatamente en lugar de esperar a que se programe una rotación. Para rotar un secreto de contraseña de usuario maestra en Secrets Manager, modifique el clúster de base de datos Multi-AZ. Para obtener más información sobre la modificación de un clúster de base de datos Multi-AZ, consulte [Modificación de un clúster de base de datos multi-AZ para Amazon RDS.](modify-multi-az-db-cluster.md). 

Puede cambiar un secreto de contraseña de usuario maestro inmediatamente con la consola de RDS, la AWS CLI de RDS o la API de RDS. La nueva contraseña siempre tiene 28 caracteres y contiene al menos una mayúscula y una minúscula, un número y un signo de puntuación. 

### Consola
<a name="rds-secrets-manager-rotate-db-instance-console"></a>

Para rotar un secreto de contraseña de usuario maestro mediante la consola de RDS, modifique el clúster de base de datos Multi-AZ y seleccione **Rotate secret immediately** (Rotar el secreto inmediatamente) en **Settings** (Configuración).

![\[Rotación inmediata de un secreto de contraseña de usuario maestro\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/secrets-manager-integration-rotate-taz-cluster.png)


Siga las instrucciones para modificar un clúster de base de datos Multi-AZ con la consola RDS en  [Modificación de un clúster de base de datos multi-AZ para Amazon RDS.](modify-multi-az-db-cluster.md). Debe elegir **Apply immediately** (Aplicar inmediatamente) en la página de confirmación.

### AWS CLI
<a name="rds-secrets-manager-rotate-db-instance-cli"></a>

Para rotar un secreto de contraseña de usuario maestro mediante la AWS CLI, utilice el comando [modify-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-cluster.html) y especifique la opción `--rotate-master-user-password`. Debe especificar la opción `--apply-immediately` al rotar la contraseña maestra.

En este ejemplo, se rota un secreto de contraseña de usuario maestro.

**Example**  
Para Linux, macOS o Unix:  

```
1. aws rds modify-db-cluster \
2.     --db-cluster-identifier mydbcluster \
3.     --rotate-master-user-password \
4.     --apply-immediately
```
Para Windows:  

```
1. aws rds modify-db-cluster ^
2.     --db-cluster-identifier mydbcluster ^
3.     --rotate-master-user-password ^
4.     --apply-immediately
```

### API de RDS
<a name="rds-secrets-manager-rotate-db-instance-api"></a>

Puede rotar un secreto de contraseña de usuario maestro mediante la operación [ModifyDBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBCluster.html) y estableciendo el parámetro `RotateMasterUserPassword` en `true`. Debe establecer el parámetro `ApplyImmediately` en `true` al rotar la contraseña maestra.

## Visualización de los detalles de un secreto para una instancia de base de datos
<a name="rds-secrets-manager-view-db-instance"></a>

Puede recuperar sus secretos mediante la consola ([https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)) o la AWS CLI (comando [get-secret-value](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-secret-value.html) de Secrets Manager).

Puede encontrar el nombre de recurso de Amazon (ARN) de un secreto administrado por RDS en Secrets Manager con la consola de RDS, la AWS CLI de RDS o la API de RDS.

### Consola
<a name="rds-secrets-manager-view-db-instance-console"></a>

**Para ver los detalles de un secreto administrado por RDS en Secrets Manager**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon RDS en [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).

1. En el panel de navegación, seleccione **Bases de datos**.

1. Seleccione el nombre de la instancia de base de datos para mostrar sus detalles.

1. Elija la pestaña **Configuración**.

   En el **Master Credentials ARN** (ARN de credenciales maestras), puede ver el ARN secreto.  
![\[Visualización de los detalles de un secreto administrado por RDS en Secrets Manager\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/secrets-manager-integration-view-instance.png)

   Puede seguir el enlace **Manage in Secrets Manager** (Administrar en Secrets Manager) para ver y administrar el secreto en la consola de Secrets Manager.

### AWS CLI
<a name="rds-secrets-manager-view-db-instance-cli"></a>

Puede utilizar el comando de la CLI de RDS [describe-db-instances](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-instances.html) para buscar la siguiente información sobre un secreto administrado por RDS en Secrets Manager:
+ `SecretArn`: ARN del secreto
+ `SecretStatus`: estado del secreto

  Otros valores de estado posibles son:
  + `creating`: se está creando el secreto.
  + `active`: el secreto está disponible para su uso y rotación normales.
  + `rotating`: se está rotando el secreto.
  + `impaired`: el secreto se puede usar para acceder a las credenciales de la base de datos, pero no se puede rotar. Un secreto puede tener este estado si, por ejemplo, se cambian los permisos para que RDS ya no pueda acceder al secreto ni a la clave de KMS del secreto.

    Cuando un secreto tiene este estado, puede corregir la condición que provocó el estado. Si corrige la condición que causó el estado, el estado sigue siendo `impaired` hasta la siguiente rotación. De forma alternativa, puede modificar la instancia de base de datos para desactivar la administración automática de las credenciales de la base de datos y, a continuación, volver a modificar la instancia de base de datos para activar la administración automática de las credenciales de la base de datos. Para modificar la instancia de base de datos, use la opción `--manage-master-user-password` en el comando [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html).
+ `KmsKeyId`: ARN de la clave de KMS que se utiliza para cifrar el secreto.

Especifique la opción `--db-instance-identifier` para mostrar el resultado de una instancia de base de datos específica. En este ejemplo se muestra el resultado de un secreto que utiliza una instancia de base de datos.

**Example**  

```
1. aws rds describe-db-instances --db-instance-identifier mydbinstance
```
A continuación, se muestra un ejemplo de resultado de un secreto:  

```
"MasterUserSecret": {
                "SecretArn": "arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx",
                "SecretStatus": "active",
                "KmsKeyId": "arn:aws:kms:eu-west-1:123456789012:key/0987dcba-09fe-87dc-65ba-ab0987654321"
            }
```

Cuando tenga el ARN secreto, podrá ver los detalles del secreto con el comando [get-secret-value](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-secret-value.html) de la CLI de Secrets Manager.

En este ejemplo se muestran los detalles del secreto del resultado del ejemplo anterior.

**Example**  
Para Linux, macOS o Unix:  

```
aws secretsmanager get-secret-value \
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'
```
Para Windows:  

```
aws secretsmanager get-secret-value ^
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'
```

### API de RDS
<a name="rds-secrets-manager-rotate-db-instance-api"></a>

Puede ver el ARN, el estado y la clave de KMS de un secreto administrado por RDS en Secrets Manager mediante la operación [DescribeDBInstances](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_DescribeDBInstances.html) y estableciendo el parámetro `DBInstanceIdentifier` en un identificador de instancia de base de datos. En el resultado se incluyen detalles sobre el secreto.

Cuando tenga el ARN secreto, podrá ver los detalles del secreto con la operación [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html) de Secrets Manager.

## Visualización de los detalles de un secreto para un clúster de base de datos Multi-AZ
<a name="rds-secrets-manager-view-db-cluster"></a>

Puede recuperar sus secretos mediante la consola ([https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)) o la AWS CLI (comando [get-secret-value](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-secret-value.html) de Secrets Manager).

Puede encontrar el nombre de recurso de Amazon (ARN) de un secreto administrado por RDS en Secrets Manager con la consola de RDS, la AWS CLI de RDS o la API de RDS.

### Consola
<a name="rds-secrets-manager-view-db-cluster-console"></a>

**Para visualizar los detalles de un secreto administrado por RDS en Secrets Manager**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon RDS en [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).

1. En el panel de navegación, elija **Databases** (Bases de datos).

1. Elija el nombre del clúster de base de datos Multi-AZ para mostrar sus detalles.

1. Elija la pestaña **Configuración**.

   En el **Master Credentials ARN** (ARN de credenciales maestras), puede ver el ARN secreto.  
![\[Visualización de los detalles de un secreto administrado por RDS en Secrets Manager\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/UserGuide/images/secrets-manager-integration-view-taz-cluster.png)

   Puede seguir el enlace **Manage in Secrets Manager** (Administrar en Secrets Manager) para ver y administrar el secreto en la consola de Secrets Manager.

### AWS CLI
<a name="rds-secrets-manager-view-db-instance-cli"></a>

Puede utilizar el comando [describe-db-clusters](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-clusters.html) de la AWS CLI de RDS para buscar la siguiente información sobre un secreto administrado por RDS en Secrets Manager:
+ `SecretArn`: ARN del secreto
+ `SecretStatus`: estado del secreto

  Otros valores de estado posibles son:
  + `creating`: se está creando el secreto.
  + `active`: el secreto está disponible para su uso y rotación normales.
  + `rotating`: se está rotando el secreto.
  + `impaired`: el secreto se puede usar para acceder a las credenciales de la base de datos, pero no se puede rotar. Un secreto puede tener este estado si, por ejemplo, se cambian los permisos para que RDS ya no pueda acceder al secreto ni a la clave de KMS del secreto.

    Cuando un secreto tiene este estado, puede corregir la condición que provocó el estado. Si corrige la condición que causó el estado, el estado sigue siendo `impaired` hasta la siguiente rotación. De forma alternativa, puede modificar el clúster de base de datos para desactivar la administración automática de las credenciales de la base de datos y, a continuación, volver a modificar el clúster de base de datos para activar la administración automática de las credenciales de la base de datos. Para modificar un clúster de base de datos, use la opción `--manage-master-user-password` en el comando [modify-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-cluster.html).
+ `KmsKeyId`: ARN de la clave de KMS que se utiliza para cifrar el secreto.

Especifique la opción `--db-cluster-identifier` para mostrar el resultado de un clúster de base de datos específica. En este ejemplo se muestra el resultado de un secreto que utiliza un clúster de base de datos.

**Example**  

```
1. aws rds describe-db-clusters --db-cluster-identifier mydbcluster
```
A continuación, se muestra un ejemplo de resultado de un secreto:  

```
"MasterUserSecret": {
                "SecretArn": "arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx",
                "SecretStatus": "active",
                "KmsKeyId": "arn:aws:kms:eu-west-1:123456789012:key/0987dcba-09fe-87dc-65ba-ab0987654321"
            }
```

Cuando tenga el ARN secreto, podrá ver los detalles del secreto con el comando [get-secret-value](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-secret-value.html) de la CLI de Secrets Manager.

En este ejemplo se muestran los detalles del secreto del resultado del ejemplo anterior.

**Example**  
Para Linux, macOS o Unix:  

```
aws secretsmanager get-secret-value \
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'
```
Para Windows:  

```
aws secretsmanager get-secret-value ^
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'
```

### API de RDS
<a name="rds-secrets-manager-rotate-db-instance-api"></a>

Puede ver el ARN, el estado y la clave de KMS de un secreto administrado por RDS en Secrets Manager mediante la operación RDS [DescribeDBClusters](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_DescribeDBClusters.html) y estableciendo el parámetro `DBClusterIdentifier` en un identificador de clúster de base de datos. En el resultado se incluyen detalles sobre el secreto.

Cuando tenga el ARN secreto, podrá ver los detalles del secreto con la operación [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html) de Secrets Manager.

## Visualización de los detalles de un secreto para una base de datos de inquilinos
<a name="rds-secrets-manager-view-tenant"></a>

Puede recuperar sus secretos mediante la consola ([https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)) o la AWS CLI (comando [get-secret-value](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-secret-value.html) de Secrets Manager).

Puede encontrar el nombre de recurso de Amazon (ARN) de un secreto administrado por Amazon RDS en AWS Secrets Manager con la consola de Amazon RDS, la AWS CLI o la API de Amazon RDS.

### Consola
<a name="rds-secrets-manager-view-tenant-console"></a>

**Visualización de los detalles de un secreto administrado por Amazon RDS en AWS Secrets Manager para una base de datos de inquilinos**

1. Inicie sesión en la Consola de administración de AWS y abra la consola de Amazon RDS en [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).

1. En el panel de navegación, elija **Databases** (Bases de datos).

1. Elija el nombre de la instancia de base de datos que contiene la base de datos de inquilinos para mostrar sus detalles.

1. Elija la pestaña **Configuración**.

   En la sección **Bases de datos de inquilinos**, busque la base de datos del inquilino y consulte su **ARN de credenciales maestras**.

   Puede seguir el enlace **Manage in Secrets Manager** (Administrar en Secrets Manager) para ver y administrar el secreto en la consola de Secrets Manager.

### AWS CLI
<a name="rds-secrets-manager-view-tenant-cli"></a>

Puede utilizar el comando [describe-tenant-databases](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-tenant-databases.html) de la AWS CLI de Amazon RDS para buscar la siguiente información sobre un secreto administrado por Amazon RDS en AWS Secrets Manager para una base de datos de inquilinos:
+ `SecretArn`: ARN del secreto
+ `SecretStatus`: estado del secreto

  Otros valores de estado posibles son:
  + `creating`: se está creando el secreto.
  + `active`: el secreto está disponible para su uso y rotación normales.
  + `rotating`: se está rotando el secreto.
  + `impaired`: el secreto se puede usar para acceder a las credenciales de la base de datos, pero no se puede rotar. Un secreto puede tener este estado si, por ejemplo, se cambian los permisos para que Amazon RDS ya no pueda acceder al secreto ni a la clave de KMS del secreto.

    Cuando un secreto tiene este estado, puede corregir la condición que provocó el estado. Si corrige la condición que causó el estado, el estado sigue siendo `impaired` hasta la siguiente rotación. De forma alternativa, puede modificar la base de datos de inquilinos para desactivar la administración automática de las credenciales de la base de datos y, a continuación, volver a modificar la base de datos de inquilinos para activar la administración automática de las credenciales de la base de datos. Para modificar la base de datos de inquilinos, utilice la opción `--manage-master-user-password` en el comando [modify-tenant-database](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-tenant-database.html).
+ `KmsKeyId`: ARN de la clave de KMS que se utiliza para cifrar el secreto.

Especifique la opción `--db-instance-identifier` para mostrar el resultado para bases de datos de inquilinos de una instancia de base de datos específica. También puede especificar la opción `--tenant-db-name` para mostrar el resultado de una base de datos de inquilinos específica. En este ejemplo se muestra el resultado de un secreto que utiliza una base de datos de inquilinos.

**Example**  

```
1. aws rds describe-tenant-databases \
2.     --db-instance-identifier database-3 \
3.     --query "TenantDatabases[0].MasterUserSecret"
```
A continuación, se muestra un ejemplo de resultado de un secreto:  

```
{
    "SecretArn": "arn:aws:secretsmanager:us-east-2:123456789012:secret:rds!db-ABC123",
    "SecretStatus": "active",
    "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/aa11bb22-####-####-####-fedcba123456"
}
```

Cuando tenga el ARN secreto, podrá ver los detalles del secreto con el comando [get-secret-value](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-secret-value.html) de la AWS CLI de Secrets Manager.

En este ejemplo se muestran los detalles del secreto del resultado del ejemplo anterior.

**Example**  
Para Linux, macOS o Unix:  

```
aws secretsmanager get-secret-value \
    --secret-id 'arn:aws:secretsmanager:us-east-2:123456789012:secret:rds!db-ABC123'
```
Para Windows:  

```
aws secretsmanager get-secret-value ^
    --secret-id 'arn:aws:secretsmanager:us-east-2:123456789012:secret:rds!db-ABC123'
```

### API de Amazon RDS
<a name="rds-secrets-manager-view-tenant-api"></a>

Puede ver el ARN, el estado y la clave de KMS de un secreto administrado por Amazon RDS en AWS Secrets Manager mediante la operación [DescribeTenantDatabases](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_DescribeTenantDatabases.html) y estableciendo el parámetro `DBInstanceIdentifier` en un identificador de instancia de base de datos. También puede establecer el parámetro `TenantDBName` con un nombre de base de datos de inquilinos específico. En el resultado se incluyen detalles sobre el secreto.

Cuando tenga el ARN secreto, podrá ver los detalles del secreto con la operación [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html) de Secrets Manager.

## Disponibilidad en regiones y versiones
<a name="rds-secrets-manager-availability"></a>

La disponibilidad y el soporte de las características varía según las versiones específicas de cada motor de base de datos y entre Regiones de AWS. Para obtener más información sobre la disponibilidad de versiones y regiones con la integración de Secrets Manager con Amazon RDS, consulte [Regiones y motores de bases de datos admitidos para la integración de Secrets Manager con Amazon RDS](Concepts.RDS_Fea_Regions_DB-eng.Feature.SecretsManager.md).