Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de secretos externos AWS Secrets Manager gestionados para gestionar secretos de terceros
Los secretos externos gestionados son un nuevo tipo de secreto AWS Secrets Manager que permite almacenar y rotar automáticamente las credenciales de los socios de integración. Esta función elimina la necesidad de crear y mantener AWS Lambda funciones personalizadas para rotar los secretos de los socios de integración. Para obtener una lista completa de todos los socios incorporados, consulte [Integration](mes-partners.md) Partners.
Cuando crea aplicaciones AWS, sus cargas de trabajo suelen necesitar interactuar con aplicaciones de terceros mediante credenciales seguras, como claves de API, OAuth tokens o pares de credenciales. Anteriormente, tenía que desarrollar enfoques personalizados para proteger y administrar estas credenciales, incluida la creación de funciones Lambda de rotación complejas que fueran exclusivas de cada aplicación y que requirieran un mantenimiento continuo.
Los secretos externos gestionados proporcionan un enfoque estandarizado para almacenar las credenciales de terceros en un formato predefinido prescrito por cada socio. La función incluye la rotación automática que está habilitada (de forma predeterminada en la consola) durante la creación de secretos, una transparencia total y controles de usuario para los flujos de trabajo de administración de secretos, y el conjunto completo de funciones que ofrece Secrets Manager, que incluye controles detallados de administración de permisos, observabilidad, gobernanza, cumplimiento, recuperación ante desastres y monitoreo.
## Características principales de
La gestión de secretos externos ofrece varias funciones clave que simplifican la gestión de credenciales de terceros:
+ La **rotación gestionada sin Lambda** elimina la sobrecarga de crear y gestionar funciones de rotación personalizadas. Al crear una externa, la rotación se habilita automáticamente sin que se implementen funciones Lambda en su cuenta.
+ Los **formatos secretos predefinidos** garantizan que los secretos se puedan asociar correctamente al socio de integración e incluyen los metadatos necesarios para la rotación. Cada socio define el formato requerido.
+ El **ecosistema de socios integrado** brinda soporte a varios socios a través de un proceso de incorporación estandarizado. Los socios se integran directamente con Secrets Manager para ofrecer orientación programática para la creación de secretos y las capacidades de rotación gestionada.
+ **La auditabilidad completa** mantiene una transparencia total mediante el AWS CloudTrail registro de todas las actividades de rotación, las actualizaciones de los valores secretos y las operaciones de gestión.
# Secretos externos gestionados: socios
Secrets Manager se integra de forma nativa con aplicaciones de terceros para filtrar los secretos en poder del socio. Cada socio define los campos de metadatos y valores secretos necesarios para rotar los datos secretos.
El valor secreto contiene los campos que son necesarios para conectarse con su cliente externo y se almacenan durante la [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)llamada. Los metadatos de rotación contienen los campos que se utilizan para actualizar el secreto durante la rotación y que se utilizan en la [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)llamada. El socio de integración definirá estos campos para permitir la gestión de los flujos de rotación.
Para que la rotación funcione correctamente, debes proporcionar a Secrets Manager permisos específicos para gestionar el ciclo de vida secreto. Para obtener más información, consulte [Seguridad y permisos](mes-security.md)
Los siguientes temas incluyen una descripción de cada uno de los campos de metadatos necesarios para rotar el secreto, así como una descripción de cada uno de los campos necesarios en el secreto de Secrets Manager para rotar.
**Temas**
| Socio de integración | Tipo de secreto |
| --- | --- |
| Salesforce | [SalesforceClientSecret](mes-partner-salesforce.md) |
| BigID | [Gran IDClient secreto](mes-partner-BigId.md) |
| Snowflake | [SnowflakeKeyPairAuthentication](mes-partner-Snowflake.md) |
# Secreto de cliente de Salesforce
## Campos de valores secretos
Los siguientes son los campos que deben estar incluidos en el secreto de Secrets Manager:
```
{
"consumerKey": "client ID",
"consumerSecret": "client secret",
"baseUri": "https://domain.my.salesforce.com",
"appId": "app ID",
"consumerId": "consumer ID"
}
```
consumerKey
La clave de consumidor, también conocida como ID de cliente, es el identificador de credenciales de las credenciales OAuth 2.0. Puede recuperar la clave de consumidor directamente desde la configuración del administrador OAuth de aplicaciones para clientes externos de Salesforce.
consumerSecret
El secreto del consumidor, también conocido como secreto del cliente, es la contraseña privada que se utiliza con la clave del consumidor para autenticarse mediante el flujo de credenciales del cliente OAuth 2.0. Puede recuperar el secreto del consumidor directamente desde la configuración del administrador OAuth de aplicaciones para clientes externos de Salesforce.
baseUri
El URI base es la URL base de su organización de Salesforce que se utiliza para interactuar con Salesforce. APIs Esto adopta la forma del siguiente ejemplo:. `https://domainName.my.salesforce.com`
appId
El ID de la aplicación es el identificador de su aplicación de cliente externo (ECA) de Salesforce. Puede recuperarlo llamando al punto final de OAuth uso de Salesforce. Debe empezar por `0x` y contener únicamente caracteres alfanuméricos. [Este campo hace referencia al external\$1client\$1app\$1identifier de la guía de rotación de Salesforce.](https://help.salesforce.com/s/articleView?id=xcloud.eca_stage_oauth_credentials.htm&type=5)
ID de consumidor
El ID de consumidor es el identificador de su consumidor de la aplicación de cliente externa (ECA) de Salesforce. Puede recuperarlo llamando al punto final de Salesforce OAuth Credentials by App ID. Este campo hace referencia al consumer\$1id de la guía de rotación de [Salesforce](https://help.salesforce.com/s/articleView?id=xcloud.eca_stage_oauth_credentials.htm&type=5).
## Campos de metadatos secretos
Los siguientes son los campos de metadatos necesarios para rotar un secreto en poder de Salesforce.
```
{
"apiVersion": "v65.0",
"adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:SalesforceClientSecret"
}
```
apiVersion
La versión de la API de Salesforce es la versión de la API de su organización de Salesforce. La versión debe ser, como mínimo, la v65.0. Debe tener el formato en el `vXX.X` que `X` es un carácter numérico.
adminSecretArn
(Opcional) El ARN del secreto de administración es el nombre de recurso de Amazon (ARN) del secreto que contiene las OAuth credenciales administrativas que se utilizarán para rotar este secreto de cliente de Salesforce. Como mínimo, el secreto de administración debe contener un valor ConsumerKey y ConsumerSecret dentro de la estructura secreta. Es un campo opcional y, si se omite, Secrets Manager utilizará OAuth las credenciales de este secreto durante la rotación para autenticarse en Salesforce.
## Flujo de uso
Los clientes que almacenen datos secretos de Salesforce AWS Secrets Manager tienen la opción de rotar un secreto con las credenciales almacenadas en el mismo secreto o utilizar las credenciales del secreto de administrador para la rotación. Puede crear su secreto mediante la [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)llamada con el valor secreto que contiene los campos mencionados anteriormente y el tipo de secreto como SalesforceClientSecret. Las configuraciones de rotación se pueden configurar mediante una [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)llamada. Esta llamada requiere la especificación de los campos de metadatos, como en el ejemplo anterior. Si opta por una rotación con credenciales con el mismo secreto, puede omitir el adminSecretArn campo. Además, los clientes deben proporcionar un ARN de rol en la [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)llamada que otorgue al servicio los permisos necesarios para rotar el secreto. Para ver un ejemplo de una política de permisos, consulte [Seguridad y permisos](mes-security.md).
En el caso de los clientes que opten por rotar sus datos secretos mediante un conjunto de credenciales independiente (almacenadas en un secreto de administrador), asegúrate de crear el secreto de administrador AWS Secrets Manager siguiendo exactamente los mismos pasos que tu secreto de consumidor. Debe proporcionar el ARN de este secreto de administrador en los metadatos de rotación en una [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)llamada para obtener su secreto de consumidor.
La lógica de rotación sigue las instrucciones proporcionadas por Salesforce.
# Token de actualización de Big ID
## Campos de valores secretos
Los siguientes son los campos que deben estar incluidos en el secreto de Secrets Manager:
```
{
"hostname": "Host Name",
"refreshToken": "Refresh Token"
}
```
hostname
Este es el nombre de host en el que está alojada la instancia de BigID. Debe introducir el nombre de dominio completo de la instancia.
Refresh Token
El token de actualización del usuario de JWT generado en la consola de BigID mediante Administración → Gestión de acceso → Seleccionar usuario → Generar token → Guardar
## Flujo de uso
Puedes crear tu secreto utilizando la [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)llamada cuyo valor secreto contiene los campos mencionados anteriormente y cuyo tipo de secreto es Big IDClient Secret. Las configuraciones de rotación se pueden configurar mediante una [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)llamada. También debes proporcionar un ARN de rol en la [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)llamada que otorgue al servicio los permisos necesarios para rotar el secreto. Para ver un ejemplo de una política de permisos, consulta [Seguridad y permisos](mes-security.md). Tenga en cuenta que el campo de metadatos de rotación se puede dejar vacío para este socio.
# Par de claves Snowflake
## Campos de valores secretos
Los siguientes son los campos que deben estar incluidos en el secreto de Secrets Manager:
```
{
"account": "Your Account Identifier",
"user": "Your user name",
"privateKey": "Your private Key",
"publicKey": "Your public Key",
"passphrase": "Your Passphrase"
}
```
usuario
El nombre de usuario de Snowflake asociado a esta autenticación de par de claves. Este usuario debe estar configurado en Snowflake para aceptar la autenticación por pares de claves y la clave pública debe estar asignada al perfil de este usuario.
inscrita
El identificador de su cuenta de Snowflake utilizado para establecer la conexión. Puede extraerlo de su URL de Snowflake (la parte anterior a .snowflakecomputing.com)
privateKey
La clave privada RSA en formato PEM utilizada para la autenticación. Los BEGIN/END marcadores son opcionales.
Clave pública
La contraparte de clave pública en formato PEM correspondiente a la clave privada. Los BEGIN/END marcadores son opcionales.
Frase de contraseña
(Opcional) Este campo hace referencia a la contraseña utilizada para descifrar la clave privada cifrada.
## Campos de metadatos secretos
Los siguientes son los campos de metadatos de Snowflake:
```
{
"cryptographicAlgorithm": "Your Cryptographic algorithm",
"encryptPrivateKey": "True/False"
}
```
Algoritmo criptográfico
(Opcional) Se refiere al algoritmo utilizado para la generación de claves. Puede elegir entre 3 algoritmos:`RS256|RS384|RS512`. Este campo es opcional y el algoritmo predeterminado elegido es RS256.
encryptPrivateKey
(Opcional) Este campo se puede usar para elegir si desea cifrar su clave privada. Su valor predeterminado es false. La contraseña para el cifrado se genera de forma aleatoria.
## Flujo de uso
Puedes crear tu secreto utilizando la [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)llamada con el valor secreto que contiene los campos mencionados anteriormente y el tipo de secreto como SnowflakeKeyPairAuthentication. Las configuraciones de rotación se pueden configurar mediante una [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)llamada. Si lo desea, puede proporcionar los campos de metadatos secretos según sus necesidades. También debes proporcionar un ARN de rol en la [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)llamada que otorgue al servicio los permisos necesarios para rotar el secreto. Para ver un ejemplo de una política de permisos, consulta [Seguridad y permisos](mes-security.md). Tenga en cuenta que el campo de metadatos de rotación se puede dejar vacío para este socio.
# Seguridad y permisos
Los secretos externos gestionados no requieren que compartas los privilegios de administrador de tus cuentas de aplicaciones de terceros. AWS En su lugar, el proceso de rotación utiliza las credenciales y los metadatos que usted proporciona para realizar llamadas autorizadas a la API a la aplicación de terceros con el fin de actualizar y validar las credenciales.
Los secretos externos gestionados mantienen los mismos estándares de seguridad que otros tipos de secretos de Secrets Manager. Los valores secretos se cifran en reposo con las claves de KMS y en tránsito mediante TLS. El acceso a los secretos se controla mediante políticas de IAM y políticas basadas en recursos. Si utilizas una clave gestionada por el cliente para cifrar tu secreto, tendrás que actualizar la política de IAM del rol de rotación y la política de confianza de CMK para proporcionar los permisos necesarios y garantizar que la rotación se realice correctamente.
Para que la rotación funcione correctamente, debes proporcionar a Secrets Manager permisos específicos para gestionar el ciclo de vida secreto. Estos permisos se pueden limitar a secretos individuales y seguir el principio del privilegio mínimo. La función de rotación que proporciona se valida durante la configuración y se utiliza exclusivamente para las operaciones de rotación.
Puede restringir la entrada de IP a su recurso externo permitiendo únicamente los [rangos de AWS IP](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html) de EC2 en la región en la que se encuentra su secreto. Esta lista de rangos de IP puede cambiar, por lo que debe actualizar las reglas de entrada periódicamente.
AWS Secrets Manager también ofrece soluciones de un solo toque para crear la política de IAM con los permisos necesarios para gestionar el secreto al crear el secreto a través de la consola Secrets Manager. Los permisos para este rol se asignan a cada socio de integración de cada región.
**Ejemplo de política de permisos:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowRotationAccess",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue",
"secretsmanager:UpdateSecretVersionStage"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"secretsmanager:resource/Type": "SalesforceClientSecret"
}
}
},
{
"Sid": "AllowPasswordGenerationAccess",
"Action": [
"secretsmanager:GetRandomPassword"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
[Nota: La lista de tipos de secretos disponibles para SecretsManager:resource/type se encuentra en Integration Partners.](mes-partners.md)
**Ejemplo de política de confianza:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SecretsManagerPrincipalAccess",
"Effect": "Allow",
"Principal": {
"Service": "secretsmanager.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:*"
}
}
}
]
}
```
# Supervise y solucione los problemas de los secretos externos gestionados
Los secretos externos gestionados proporcionan capacidades de supervisión integrales a través de AWS CloudTrail registros y CloudWatch métricas de Amazon. Todas las actividades de rotación se registran con información detallada sobre el éxito, el fracaso y cualquier error encontrado durante el proceso.
Los problemas más comunes del flujo de trabajo de rotación incluyen una configuración incorrecta de los permisos de los roles o del valor secreto. Si no se configuran estos campos en el formato especificado por los socios de integración, se pueden producir errores de rotación, ya que el servicio no podrá acceder al secreto ni conectarse con el cliente del socio de integración para actualizarlo. Otros problemas podrían ser problemas de conectividad de red, la caducidad de las credenciales o la disponibilidad de los servicios de los socios. El servicio de rotación gestionada incluye la lógica de reintentos y la gestión de errores para maximizar la fiabilidad
Puedes supervisar los programas de rotación, las tasas de éxito y las métricas de rendimiento a través de Amazon CloudWatch. Puedes configurar alarmas personalizadas a través de [Event Bridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html) para que te avisen de fallos de rotación u otros problemas que requieran atención.
# Migración de los secretos existentes
Tiene la opción de migrar los secretos de sus socios actuales a secretos externos gestionados. Esto se puede hacer con una [UpdateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecret.html)llamada. Debe actualizar el valor secreto y los metadatos tal y como se menciona en la guía. Si ya has configurado una lógica de rotación personalizada para estos secretos, primero debes cancelar la rotación mediante una [CancelRotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CancelRotateSecret.html)llamada.
# Limitaciones y consideraciones
Los secretos externos gestionados no admiten secretos efímeros con una vida útil inferior a cuatro horas. Tampoco se admiten los secretos asociados a los certificados de infraestructura de clave pública.
Los secretos externos gestionados solo son compatibles con los socios que ya se han incorporado. AWS Secrets Manager Para obtener una lista completa, consulte [Integration](mes-partners.md) Partners. ¿No ve a su socio en la lista? [Dígales que se unan a AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/mes-onboarding/secrets-manager-mes-onboarding.html)
Si actualiza o rota los valores secretos directamente desde el servicio de atención al cliente asociado fuera del motor de rotación de Secrets Manager, la sincronización entre los sistemas podría interrumpirse. Si bien Secrets Manager proporciona advertencias en la consola y prevención mediante programación para las actualizaciones manuales de valores secretos, puede modificar los valores directamente en una aplicación de terceros. Para restablecer la sincronización tras out-of-band las actualizaciones, debes actualizar el valor secreto para que refleje el secreto correcto y, a continuación, invocar la [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)API para garantizar que las rotaciones se realicen correctamente.