Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Crea un AWS Secrets Manager secreto
<a name="create_secret"></a>

Un *secreto* puede ser una contraseña, un conjunto de credenciales, como un nombre de usuario y una contraseña, un OAuth token u otra información secreta que se almacene de forma cifrada en Secrets Manager. 

**sugerencia**  
Para las credenciales del usuario administrador de Amazon RDS y Amazon Redshift, se recomienda utilizar [secretos administrados](service-linked-secrets.md). El secreto administrado se crea a través del servicio de administración, y luego se puede utilizar la [rotación administrada](rotate-secrets_managed.md).

Cuando se usa la consola para almacenar las credenciales de una base de datos de origen que se replica a otras regiones, el secreto contiene información de conexión para la base de datos de origen. Si luego replica el secreto, las réplicas son copias del secreto de origen y contienen la misma información de conexión. Puede añadir key/value pares adicionales al secreto para obtener información de conexión regional.

Para crear un secreto, necesita los permisos otorgados por la [política SecretsManagerReadWrite administrada](reference_available-policies.md).

Secrets Manager genera una entrada de CloudTrail registro al crear un secreto. Para obtener más información, consulte [AWS Secrets Manager Registra eventos con AWS CloudTrail](monitoring-cloudtrail.md).

**Para crear un secreto (consola)**

1. Abra la consola de Secrets Manager en [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Elija **Almacenar un secreto nuevo**.

1. En la página **Elegir tipo de secreto**, haga lo siguiente:

   1. En **Secret type** (Tipo de secreto), haga una de estas cosas:
      + Para almacenar credenciales de base de datos, elija el tipo de credenciales de base de datos que desea almacenar. A continuación, elija la **Base de datos** y, luego, introduzca las **Credenciales**.
      + Para almacenar claves de API, tokens de acceso y credenciales que no son para bases de datos, elija **Otro tipo de secreto**.

        En **Pares clave-valor**, ingrese su secreto en pares **Clave/valor** o elija la pestaña **Texto no cifrado** e ingrese el secreto en cualquier formato. Puede almacenar hasta 65536 bytes en el secreto. Presentamos algunos ejemplos:

------
#### [ API key ]

        Entrad por key/value parejas:

        **ClientID** : *my\$1client\$1id*

        **ClientSecret** : *wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY*

------
#### [ OAuth token ]

        Introducirlo como texto no cifrado:

        *AKIAI44QH8DHBEXAMPLE*

------
#### [ Digital certificate ]

        Introducirlo como texto no cifrado:

        ```
        -----BEGIN CERTIFICATE-----
        EXAMPLE
        -----END CERTIFICATE-----
        ```

------
#### [ Private key ]

        Introducirlo como texto no cifrado:

        ```
        –--- BEGIN PRIVATE KEY ----
        EXAMPLE
        ––-- END PRIVATE KEY –---
        ```

------
      + Para almacenar un secreto externo gestionado por un socio de Secrets Manager, selecciona **Partner secret**. A continuación, elija al socio y proporcione los detalles que identifican el secreto del socio. Para obtener más información, consulte [Uso de secretos externos AWS Secrets Manager gestionados para gestionar secretos de terceros](managed-external-secrets.md).

   1. En **Clave de cifrado**, elija la AWS KMS key que Secrets Manager utiliza para cifrar el valor secreto. Para obtener más información, consulte [Cifrado y descifrado de secretos](security-encryption.md).
      + En la mayoría de los casos, elija **aws/secretsmanager** para usar Secrets Clave administrada de AWS Manager. No se aplica ningún cargo por el uso de esta clave.
      + Si necesita acceder al secreto desde otra Cuenta de AWS persona o si quiere usar su propia clave de KMS para poder rotarla o aplicarle una política de claves, elija una clave gestionada por el cliente de la lista, introduzca la clave ARN o el alias ARN de una clave gestionada por el cliente o seleccione **Añadir nueva clave para** crear una. Para obtener información sobre los costos por usar una clave administrada por el cliente, consulte [Precios](intro.md#asm_pricing).

        Debe tener [Permisos para la clave KMS](security-encryption.md#security-encryption-authz). Para más información sobre el acceso entre cuentas, consulte [Accede a AWS Secrets Manager los secretos desde una cuenta diferente](auth-and-access_examples_cross.md). 

   1. Elija **Siguiente**.

1. En la página **Configure secret** (Configurar el secreto), haga lo siguiente:

   1. Ingrese un **Nombre de secreto** descriptivo y una **Descripción**. Los nombres de secretos pueden contener de 1 a 512 caracteres alfanuméricos y los caracteres /\$1\$1 =.@-.

   1. (Opcional) Si se le ha creado un secreto externo, introduzca los metadatos requeridos por el socio de Secrets Manager que guarda el secreto.

   1. (Opcional) En la sección **Tags (Etiquetas)**, agregue etiquetas a su secreto. Para obtener información sobre estrategias de etiquetado, consulte[Etiquetar secretos en AWS Secrets Manager](managing-secrets_tagging.md). No almacene información confidencial en etiquetas porque no están cifradas.

   1. (Opcional) En **Resource permissions (Permisos de recursos)**, para agregar una política de recursos a su secreto, elija **Edit permissions (Editar permisos)**. Para obtener más información, consulte [Políticas basadas en recursos](auth-and-access_resource-policies.md).

   1. (Opcional) En **Replicar secreto**, para replicar tu secreto en otro Región de AWS, selecciona **Replicar secreto**. Puede replicar el secreto ahora o volver y replicarlo más tarde. Para obtener más información, consulte [Réplica multirregión](replicate-secrets.md).

   1. Elija **Siguiente**.

1. (Opcional) En la página **Configure rotation** (Configurar rotación), puede activar la rotación automática. También puede mantener la rotación desactivada por ahora y activarla más tarde. Para obtener más información, consulte [Rotar secretos de ](rotating-secrets.md). Elija **Siguiente**.

1. En la página **Review (Revisar)**, revise los detalles del secreto y, a continuación, elija **Store (Almacenar)**.

   Secrets Manager vuelve a la lista de secretos. Si el nuevo secreto no aparece, elija el botón Refresh (Actualizar).

## AWS CLI
<a name="create_secret_cli"></a>

Cuando utiliza ingresa comandos en un shell de comandos, existe el riesgo de que se acceda al historial de comandos o de que las utilidades tengan acceso a sus parámetros de comando. Consulte [Mitigue los riesgos de AWS CLI utilizarlos para almacenar sus AWS Secrets Manager secretos](security_cli-exposure-risks.md).

**Example Crear un secreto a partir de credenciales de base de datos en un archivo JSON**  
En el siguiente ejemplo de [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/secretsmanager/create-secret.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/secretsmanager/create-secret.html), se crea un secreto a partir de las credenciales de un archivo. Para obtener más información, consulte [Carga de AWS CLI parámetros desde un archivo](https://docs.aws.amazon.com//cli/latest/userguide/cli-usage-parameters-file.html) en la Guía del AWS CLI usuario.  
Para que Secrets Manager pueda rotar el secreto, debe asegurarse de que el JSON coincida con el [Estructura JSON de un secreto](reference_secret_json_structure.md).  

```
aws secretsmanager create-secret \
    --name MyTestSecret \
    --secret-string file://mycreds.json
```
Contenido de mycreds.json:  

```
{
    "engine": "mysql",
    "username": "saanvis",
    "password": "EXAMPLE-PASSWORD",
    "host": "my-database-endpoint.us-west-2.rds.amazonaws.com",
    "dbname": "myDatabase",
    "port": "3306"
}
```

**Example Creación de un secreto**  
En el siguiente ejemplo de [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/secretsmanager/create-secret.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/secretsmanager/create-secret.html) se crea un secreto con dos pares clave-valor.  

```
aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string '{"user":"diegor","password":"EXAMPLE-PASSWORD"}'
```

**Example Creación de un secreto**  
En el siguiente ejemplo de [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/create-secret.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/create-secret.html) crea un secreto con dos etiquetas.  

```
aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string '{"user":"diegor","password":"EXAMPLE-PASSWORD"}'  \
    --tags '[{"Key": "FirstTag", "Value": "FirstValue"}, {"Key": "SecondTag", "Value": "SecondValue"}]'
```

## AWS SDK
<a name="create_secret_sdk"></a>

Para crear un secreto mediante uno de los AWS SDKs, usa la [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)acción. Para obtener más información, consulte [AWS SDKs](asm_access.md#asm-sdks).

# ¿Qué hay en un secreto de Secrets Manager?
<a name="whats-in-a-secret"></a>

En Secrets Manager, un *secreto* comprende la información secreta, el *valor secreto*, además de los metadatos sobre ese secreto. Un valor secreto puede ser de tipo cadena o binario. 

Para almacenar varios valores de tipo cadena en un secreto, se recomienda utilizar una cadena de texto JSON con pares clave-valor, por ejemplo:

```
{
  "host"       : "ProdServer-01.databases.example.com",
  "port"       : "8888",
  "username"   : "administrator",
  "password"   : "EXAMPLE-PASSWORD",
  "dbname"     : "MyDatabase",
  "engine"     : "mysql"
}
```

Si desea activar la rotación automática para un secreto de base de datos, este debe contener la información de conexión a la base de datos en la estructura JSON correcta. Para obtener más información, consulte [Estructura JSON de AWS Secrets Manager secretos](reference_secret_json_structure.md). 

## Metadatos
<a name="whats-in-a-secret-metadata"></a>

Entre los metadatos de un secreto se encuentran los siguientes:
+ Un Nombre de recurso de Amazon (ARN) con el siguiente formato:

  ```
  arn:aws:secretsmanager:<Region>:<AccountId>:secret:SecretName-6RandomCharacters
  ```

  Secrets Manager incluye seis caracteres de asignación al azar al final del nombre del secreto para garantizar que el ARN del secreto sea único. Si se elimina el secreto original y, a continuación, se crea un secreto nuevo con el mismo nombre, los dos secretos son diferentes ARNs debido a estos caracteres. Los usuarios con acceso al secreto anterior no acceden automáticamente al secreto nuevo porque ARNs son diferentes.
+ El nombre del secreto, una descripción, una política de recursos y las etiquetas.
+ El ARN de una *clave de cifrado*, AWS KMS key que Secrets Manager utiliza para cifrar y descifrar el valor secreto. Secrets Manager almacena texto secreto en un formato cifrado y cifra el secreto en tránsito. Consulte [Cifrado y descifrado secretos en AWS Secrets Manager](security-encryption.md).
+ Información sobre cómo rotar el secreto, si configura la rotación. Consulte [Rota AWS Secrets Manager los secretos](rotating-secrets.md).

Secrets Manager utiliza políticas de permisos de IAM para garantizar que solo los usuarios autorizados tengan acceso al secreto y puedan modificarlo. Consulte [Autenticación y control de acceso para AWS Secrets Manager](auth-and-access.md).

Un secreto tiene *versiones* que tienen copias del valor cifrado del secreto. Cuando se cambia el valor secreto, o el secreto es rotado, el Secrets Manager crea una nueva versión. Consulte [Versiones de un secreto](#term_version).

*Puedes usar un secreto en varios Regiones de AWS si lo replicas.* Cuando se replica un secreto, se crea una copia del secreto original o *secreto principal* llamada *secreto réplica*. El secreto réplica permanece vinculado al secreto principal. Consulte [Replica AWS Secrets Manager secretos en todas las regiones](replicate-secrets.md).

Consulte [Gestiona tus secretos con AWS Secrets Manager](managing-secrets.md).

## Versiones de un secreto
<a name="term_version"></a>

Un secreto tiene *versiones* que tienen copias del valor cifrado del secreto. Cuando se cambia el valor secreto, o el secreto es rotado, el Secrets Manager crea una nueva versión.

Secrets Manager no almacena ningún historial lineal de secretos junto con las versiones. En cambio, etiqueta tres versiones específicas para hacer un seguimiento de ellas: 
+ Versión actual: `AWSCURRENT`
+ Versión anterior: `AWSPREVIOUS`
+ Versión pendiente (durante la rotación): `AWSPENDING`

Un secreto siempre tiene una versión con la etiqueta `AWSCURRENT` y Secrets Manager devuelve esa versión de forma predeterminada cuando se recupera el valor del secreto. 

También puede etiquetar las versiones con sus propias etiquetas llamando [https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/update-secret-version-stage.html](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/update-secret-version-stage.html)al AWS CLI. Puede adjuntar hasta 20 etiquetas a versiones en un secreto. Dos versiones de un secreto no puede tener la misma etiqueta provisional. Las versiones pueden tener varias etiquetas.

Secrets Manager nunca elimina las versiones etiquetadas, pero las versiones sin etiquetar se consideran obsoletas. Secrets Manager elimina las versiones obsoletas cuando hay más de 100. Secrets Manager no elimina versiones creadas hace menos de 24 horas.

En la siguiente figura se muestra un secreto que contiene versiones AWS etiquetadas y versiones etiquetadas por el cliente. Las versiones sin etiquetas se consideran obsoletas y Secrets Manager las eliminará en algún momento. 

 ![\[A secret that contains multiple secret versions, some with labels such as AWSCURRENT or MyLabelA, and some without labels.\]](http://docs.aws.amazon.com/es_es/secretsmanager/latest/userguide/images/SecretVersions.png) 

# Estructura JSON de AWS Secrets Manager secretos
<a name="reference_secret_json_structure"></a>

En un secreto de Secrets Manager, puede almacenar cualquier texto o binario con un tamaño máximo de 65 536 bytes. 

Si usa [Rotación con función de Lambda](rotate-secrets_lambda.md), un secreto debe contener los campos JSON específicos que la función de rotación espera. Por ejemplo, en el caso de un secreto que contiene credenciales de base de datos, la función de rotación se conecta a la base de datos para actualizar las credenciales, por lo que el secreto debe contener la información de conexión a la base de datos.

Si utiliza la consola para editar la rotación de un secreto de base de datos, el secreto debe contener pares clave-valor JSON específicos que identifiquen la base de datos. Secrets Manager utiliza estos campos para consultar la base de datos y encontrar la VPC correcta para almacenar una función de rotación.

Los nombres de clave JSON distinguen entre mayúsculas y minúsculas.

**Topics**
+ [Credenciales de Amazon RDS y Aurora](#reference_secret_json_structure_rds)
+ [Credenciales de Amazon Redshift](#reference_secret_json_structure_RS)
+ [Credenciales de Amazon Redshift sin servidor](#reference_secret_json_structure_RSServerless)
+ [Credenciales de Amazon DocumentDB](#reference_secret_json_structure_docdb)
+ [Estructura secreta de Amazon Timestream para InfluxDB](#reference_secret_json_structure_TIME)
+ [ElastiCache Credenciales de Amazon](#reference_secret_json_structure_ELC)
+ [Credenciales de Active Directory](#reference_secret_json_structure_AD)

## Credenciales de Amazon RDS y Aurora
<a name="reference_secret_json_structure_rds"></a>

Para utilizar las [plantillas de funciones de rotación que proporciona Secrets Manager](reference_available-rotation-templates.md#RDS_rotation_templates), utilice la siguiente estructura JSON. Puede añadir más key/value pares, por ejemplo, para contener la información de conexión de las réplicas de bases de datos de otras regiones.

------
#### [ DB2 ]

En el caso de las instancias Db2 de Amazon RDS, dado que los usuarios no pueden cambiar sus propias contraseñas, debe proporcionar las credenciales de administrador en un secreto independiente.

```
{
  "engine": "db2",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to None>",
  "port": <TCP port number. If not specified, defaults to 3306>,
  "masterarn": "<ARN of the elevated secret>",
  "dbInstanceIdentifier": <optional: ID of the instance. Alternately, use dbClusterIdentifier. Required for configuring rotation in the console.>",
  "dbClusterIdentifier": <optional: ID of the cluster. Alternately, use dbInstanceIdentifier. Required for configuring rotation in the console.>"
}
```

------
#### [ MariaDB ]

```
{
  "engine": "mariadb",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to None>",
  "port": <TCP port number. If not specified, defaults to 3306>,
  "masterarn": "<optional: ARN of the elevated secret. Required for the Estrategia de rotación: usuarios alternativos.>",
  "dbInstanceIdentifier": <optional: ID of the instance. Alternately, use dbClusterIdentifier. Required for configuring rotation in the console.>",
  "dbClusterIdentifier": <optional: ID of the cluster. Alternately, use dbInstanceIdentifier. Required for configuring rotation in the console.>"
}
```

------
#### [ MySQL ]

```
{
  "engine": "mysql",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to None>",
  "port": <TCP port number. If not specified, defaults to 3306>,
  "masterarn": "<optional: ARN of the elevated secret. Required for the Estrategia de rotación: usuarios alternativos.>",
  "dbInstanceIdentifier": <optional: ID of the instance. Alternately, use dbClusterIdentifier. Required for configuring rotation in the console.>",
  "dbClusterIdentifier": <optional: ID of the cluster. Alternately, use dbInstanceIdentifier. Required for configuring rotation in the console.>"
}
```

------
#### [ Oracle ]

```
{
  "engine": "oracle",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name>",
  "port": <TCP port number. If not specified, defaults to 1521>,
  "masterarn": "<optional: ARN of the elevated secret. Required for the Estrategia de rotación: usuarios alternativos.>",
  "dbInstanceIdentifier": <optional: ID of the instance. Alternately, use dbClusterIdentifier. Required for configuring rotation in the console.>",
  "dbClusterIdentifier": <optional: ID of the cluster. Alternately, use dbInstanceIdentifier. Required for configuring rotation in the console.>"
}
```

------
#### [ Postgres ]

```
{
  "engine": "postgres",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to 'postgres'>",
  "port": <TCP port number. If not specified, defaults to 5432>,
  "masterarn": "<optional: ARN of the elevated secret. Required for the Estrategia de rotación: usuarios alternativos.>",
  "dbInstanceIdentifier": <optional: ID of the instance. Alternately, use dbClusterIdentifier. Required for configuring rotation in the console.>",
  "dbClusterIdentifier": <optional: ID of the cluster. Alternately, use dbInstanceIdentifier. Required for configuring rotation in the console.>"
}
```

------
#### [ SQLServer ]

```
{
  "engine": "sqlserver",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to 'master'>",
  "port": <TCP port number. If not specified, defaults to 1433>,
  "masterarn": "<optional: ARN of the elevated secret. Required for the Estrategia de rotación: usuarios alternativos.>",
  "dbInstanceIdentifier": <optional: ID of the instance. Alternately, use dbClusterIdentifier. Required for configuring rotation in the console.>",
  "dbClusterIdentifier": <optional: ID of the cluster.Alternately, use dbInstanceIdentifier.  Required for configuring rotation in the console.>"
}
```

------

## Credenciales de Amazon Redshift
<a name="reference_secret_json_structure_RS"></a>

Para utilizar las [plantillas de funciones de rotación que proporciona Secrets Manager](reference_available-rotation-templates.md#template-redshift), utilice la siguiente estructura JSON. Puede agregar más key/value pares, por ejemplo, para contener información de conexión para bases de datos de réplicas en otras regiones.

```
{
  "engine": "redshift",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to None>",
  "dbClusterIdentifier": "<optional: database ID. Required for configuring rotation in the console.>"
  "port": <optional: TCP port number. If not specified, defaults to 5439>
  "masterarn": "<optional: ARN of the elevated secret. Required for the Estrategia de rotación: usuarios alternativos.>"
}
```

## Credenciales de Amazon Redshift sin servidor
<a name="reference_secret_json_structure_RSServerless"></a>

Para utilizar las [plantillas de funciones de rotación que proporciona Secrets Manager](reference_available-rotation-templates.md#template-redshift), utilice la siguiente estructura JSON. Puede agregar más key/value pares, por ejemplo, para contener información de conexión para bases de datos de réplicas en otras regiones.

```
{
  "engine": "redshift",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to None>",
  "namespaceName": "<optional: namespace name, Required for configuring rotation in the console.> "
  "port": <optional: TCP port number. If not specified, defaults to 5439>
  "masterarn": "<optional: ARN of the elevated secret. Required for the Estrategia de rotación: usuarios alternativos.>"
}
```

## Credenciales de Amazon DocumentDB
<a name="reference_secret_json_structure_docdb"></a>

Para utilizar las [plantillas de funciones de rotación que proporciona Secrets Manager](reference_available-rotation-templates.md#NON-RDS_rotation_templates), utilice la siguiente estructura JSON. Puede agregar más key/value pares, por ejemplo, para contener información de conexión para bases de datos de réplicas en otras regiones.

```
{
  "engine": "mongo",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to None>",
  "port": <TCP port number. If not specified, defaults to 27017>,
  "ssl": <true|false. If not specified, defaults to false>,
  "masterarn": "<optional: ARN of the elevated secret. Required for the Estrategia de rotación: usuarios alternativos.>",
  "dbClusterIdentifier": "<optional: database cluster ID. Alternately, use dbInstanceIdentifier. Required for configuring rotation in the console.>"
  "dbInstanceIdentifier": "<optional: database instance ID. Alternately, use dbClusterIdentifier. Required for configuring rotation in the console.>"
}
```

## Estructura secreta de Amazon Timestream para InfluxDB
<a name="reference_secret_json_structure_TIME"></a>

Para rotar los secretos de Timestream, puede utilizar las plantillas de rotación [Amazon Timestream para InfluxDB](reference_available-rotation-templates.md#template-TimeStream).

Para obtener más información, consulte [Cómo utiliza los secretos Amazon Timestream para InfluxDB](https://docs.aws.amazon.com/timestream/latest/developerguide/timestream-for-influx-security-db-secrets.html) en la *Guía para desarrolladores de Amazon Timestream*.

Los secretos de Timestream deben estar en la estructura JSON correcta para poder utilizar las plantillas de rotación. Para obtener más información, consulte [Qué hay en el secreto](https://docs.aws.amazon.com/timestream/latest/developerguide/timestream-for-influx-security-db-secrets.html#timestream-for-influx-security-db-secrets-definition) en la *Guía para desarrolladores de Amazon Timestream*.

## ElastiCache Credenciales de Amazon
<a name="reference_secret_json_structure_ELC"></a>

El siguiente ejemplo muestra la estructura JSON de un secreto que almacena las ElastiCache credenciales.

```
{
  "password": "<password>",
  "username": "<username>" 
  "user_arn": "ARN of the Amazon EC2 user"
}
```

Para obtener más información, consulta [Rotación automática de contraseñas para los usuarios](https://docs.aws.amazon.com/AmazonElastiCache/latest/red-ug/User-Secrets-Manager.html) en la *Guía del ElastiCache usuario de Amazon*.

## Credenciales de Active Directory
<a name="reference_secret_json_structure_AD"></a>

AWS Directory Service usa secretos para almacenar las credenciales de Active Directory. Para obtener más información, consulte [Cómo unir sin problemas una instancia Linux de Amazon EC2 a su Active Directory de AD administrado](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/seamlessly_join_linux_instance.html) en la *Guía de administración de AWS Directory Service *. La unión sin problemas de dominios requiere los nombres de claves de los siguientes ejemplos. Si no utiliza la unión de dominios fluida, puede cambiar los nombres de las claves del secreto mediante variables de entorno, tal y como se describe en el código de la plantilla de la función de rotación.

Para rotar los secretos de Active Directory, puede usar las [plantillas de rotación de Active Directory](reference_available-rotation-templates.md#template-AD).

------
#### [ Active Directory credential ]

```
{
  "awsSeamlessDomainUsername": "<username>",
  "awsSeamlessDomainPassword": "<password>"
}
```

Si desea rotar el secreto, incluya el ID del directorio del dominio.

```
{
  "awsSeamlessDomainDirectoryId": "d-12345abc6e",
  "awsSeamlessDomainUsername": "<username>",
  "awsSeamlessDomainPassword": "<password>"
}
```

Si el secreto se usa junto con un secreto que contiene un keytab, debe incluir el secreto keytab. ARNs

```
{
  "awsSeamlessDomainDirectoryId": "d-12345abc6e",
  "awsSeamlessDomainUsername": "<username>",
  "awsSeamlessDomainPassword": "<password>",
  "directoryServiceSecretVersion": 1,
  "schemaVersion": "1.0",
  "keytabArns": [
    "<ARN of child keytab secret 1>,
    "<ARN of child keytab secret 2>,
    "<ARN of child keytab secret 3>,
  ],
  "lastModifiedDateTime": "2021-07-19 17:06:58"
}
```

------
#### [ Active Directory keytab ]

Para obtener información sobre el uso de archivos keytab para autenticarse en cuentas de Active Directory en Amazon EC2, consulte [Implementación y configuración de la autenticación de Active Directory con SQL Server 2017 en Amazon Linux 2](https://aws.amazon.com/blogs/database/deploying-and-configuring-active-directory-authentication-with-sql-server-2017-on-amazon-linux-2/).

```
{
  "awsSeamlessDomainDirectoryId": "d-12345abc6e",
  "schemaVersion": "1.0",
  "name": "< name>",
  "principals": [
    "aduser@MY.EXAMPLE.COM",
    "MSSQLSvc/test:1433@MY.EXAMPLE.COM"
  ],
  "keytabContents": "<keytab>",
  "parentSecretArn": "<ARN of parent secret>",
  "lastModifiedDateTime": "2021-07-19 17:06:58"
  "version": 1
}
```

------