Crea un AWS Secrets Manager segreto - AWS Secrets Manager
AWS CLIAWS SDK

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea un AWS Secrets Manager segreto

Un segreto può essere costituito da una password, da un insieme di credenziali, ad esempio un nome utente e una password, da un OAuth token o da altre informazioni del segreto archiviate in un formato crittografato in Secrets Manager.

Suggerimento

Per le credenziali utente amministratore di Amazon RDS e Amazon Redshift, ti consigliamo di utilizzare i segreti gestiti. Puoi creare il segreto gestito tramite il servizio di gestione, quindi puoi utilizzare la rotazione gestita.

Quando si utilizza la console per archiviare le credenziali del database per un database di origine replicato in altre regioni, il segreto contiene informazioni di connessione per il database di origine. Se poi replichi il segreto, le repliche saranno copie del segreto di origine e conterranno le stesse informazioni di connessione. Puoi aggiungere altre coppie chiave/valore al segreto per le informazioni sulla connessione della regione.

Per creare un segreto, sono necessarie le autorizzazioni concesse dalla policy SecretsManagerReadWrite gestita.

Secrets Manager genera una voce nel CloudTrail file di log quando crea un segreto. Per ulteriori informazioni, consulta Registra AWS Secrets Manager gli eventi con AWS CloudTrail.

Come creare un segreto (console)

  1. Apri la console di Secrets Manager all'indirizzo https://console.aws.amazon.com/secretsmanager/.

  2. Scegli Archivia un nuovo segreto.

  3. Nella pagina Choose secret type (Scegli il tipo di segreto), effettua le seguenti operazioni:

    1. Per Tipo di segreto, procedere in uno dei seguenti modi:

      • Per archiviare le credenziali del database, scegli il tipo di credenziali del database da archiviare. Quindi scegli il database e inserisci le credenziali.

      • Per archiviare le chiavi API, i token di accesso, le credenziali che non sono per i database, scegli Altro tipo di segreto.

        In Coppie chiave/valore, inserisci il segreto sotto forma di coppie Chiave/valore JSON oppure scegli la scheda Testo normale e inserisci il segreto in qualsiasi formato. Puoi archiviare fino a 65536 byte nel segreto. Alcuni esempi:

        API key

        Inserisci come coppia chiave-valore:

        ClientID : my_client_id

        ClientSecret : wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

        OAuth token

        Immetti come semplice:

        AKIAI44QH8DHBEXAMPLE

        Digital certificate

        Immetti come semplice:

        -----BEGIN CERTIFICATE-----
EXAMPLE
-----END CERTIFICATE-----
        Private key

        Immetti come semplice:

        –--- BEGIN PRIVATE KEY ----
EXAMPLE
––-- END PRIVATE KEY –---

    2. Per Encryption key (Chiave di crittografia), scegli la AWS KMS key che utilizza Secrets Manager per crittografare il valore del segreto. Per ulteriori informazioni, consulta Crittografia e decrittografia del segreto.

      • Per la maggior parte dei casi, scegli aws/secretmanager per utilizzare la Chiave gestita da AWS per Secrets Manager. L'utilizzo di questa chiave non prevede costi aggiuntivi.

      • Se hai bisogno di accedere al segreto da un altro Account AWS oppure se desideri utilizzare la tua chiave KMS in modo da poterla ruotare o applicare ad essa un policy di chiavi, scegli una chiave gestita dal cliente dall'elenco o seleziona Add new key (Aggiungi nuova chiave) per crearne una. Per informazioni sui costi di utilizzo di una chiave gestita dal cliente, consulta la sezione Prezzi.

        È necessario avere le Autorizzazioni per la chiave KMS. Per informazioni sull'accesso tra account, consulta Accedi ai AWS Secrets Manager segreti da un altro account.

    3. Scegli Next (Successivo).

  4. Nella pagina Configure secret (Configura il segreto), effettua le seguenti operazioni:

    1. Inserisci un Secret name (Nome del segreto) e una Description (Descrizione) descrittivi. I nomi del segreto possono contenere da 1 a 512 caratteri alfanumerici e /_+ =.@-.

    2. (Facoltativo) Nella sezione Tags (Tag) aggiungere tag al segreto. Per le strategie di assegnazione dei tag, vedere Taggare segreti in AWS Secrets Manager. Non archiviare informazioni sensibili nei tag perché non sono crittografate.

    3. (Facoltativo) In Permessi delle risorse, per aggiungere una policy delle risorse al tuo segreto, scegli Modifica delle autorizzazioni. Per ulteriori informazioni, consulta Policy basate sulle risorse.

    4. (Facoltativo) In Replica il segreto, per replicare il tuo segreto a un altro Regione AWS, scegliere Replica il segreto. Puoi replicare il tuo segreto immediatamente o tornare e replicarlo in un secondo momento. Per ulteriori informazioni, consulta Replica in più regioni.

    5. Scegli Next (Successivo).

  5. (Facoltativo) Nella pagina Configure rotation (Configura la rotazione), puoi attivare la rotazione automatica. Puoi anche disattivare la rotazione e poi riattivarla in un secondo momento. Per ulteriori informazioni, consulta Rotazione dei segreti . Scegli Next (Successivo).

  6. Nella pagina Review (Revisione), rivedi i dettagli dei segreti e quindi scegli Store (Archivia).

    Secrets Manager ritorna all'elenco dei segreti. Se il segreto nuovo non viene visualizzato, scegli il pulsante aggiorna.

AWS CLI

Quando immetti i comandi in una shell dei comandi, c'è il rischio che la cronologia dei comandi sia accessibile o che le utilità abbiano accesso ai parametri dei comandi. Consultare Riduci i rischi derivanti dall'utilizzo di per archiviare i tuoi AWS CLI segreti AWS Secrets Manager.

Esempio Creazione di un segreto dalle credenziali del database in un file JSON

L'esempio di create-secret seguente mostra come creare un segreto partendo dalle credenziali in un file. Per ulteriori informazioni, consulta la sezione Loading AWS CLI parameters from a file (Caricamento di parametri della da un file) nella Guida per AWS CLI l'utente della

Affinché Secrets Manager sia in grado di ruotare il segreto, devi assicurarti che il JSON corrisponda alla Struttura JSON di un segreto .

aws secretsmanager create-secret \
    --name MyTestSecret \
    --secret-string file://mycreds.json

Contenuti di mycreds.json:

{
    "engine": "mysql",
    "username": "saanvis",
    "password": "EXAMPLE-PASSWORD",
    "host": "my-database-endpoint.us-west-2.rds.amazonaws.com",
    "dbname": "myDatabase",
    "port": "3306"
}
Esempio Creazione di un segreto

L'esempio di create-secret seguente mostra come creare un segreto con due coppie chiave-valore.

aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string '{"user":"diegor","password":"EXAMPLE-PASSWORD"}'
Esempio Creazione di un segreto

L'create-secretesempio seguente crea un segreto con due tag.

aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string '{"user":"diegor","password":"EXAMPLE-PASSWORD"}'  \
    --tags '[{"Key": "FirstTag", "Value": "FirstValue"}, {"Key": "SecondTag", "Value": "SecondValue"}]'

AWS SDK

Per creare un segreto utilizzando uno dei AWS SDKs, usa l'CreateSecretazione. Per ulteriori informazioni, consulta AWS SDKs.