Exemplos de Secrets Manager usando AWS CLI

Os exemplos de código a seguir mostram como realizar ações e implementar cenários comuns usando o AWS Command Line Interface with Secrets Manager.

Ações são trechos de código de programas maiores e devem ser executadas em contexto. Embora as ações mostrem como chamar perfis de serviço individuais, você pode ver as ações no contexto em seus cenários relacionados.

Cada exemplo inclui um link para o código-fonte completo, em que você pode encontrar instruções sobre como configurar e executar o código.

Tópicos

Ações

Ações

O código de exemplo a seguir mostra como usar batch-get-secret-value.

AWS CLI

Exemplo 1: recuperar o valor do segredo de um grupo de segredos listados por nome

O exemplo batch-get-secret-value a seguir obtém segredos do valor do segredo para três segredos.


aws secretsmanager batch-get-secret-value \
    --secret-id-list MySecret1 MySecret2 MySecret3

Saída:


{
    "SecretValues": [
        {
            "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MySecret1-a1b2c3",
            "Name": "MySecret1",
            "VersionId": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
            "SecretString": "{\"username\":\"diego_ramirez\",\"password\":\"EXAMPLE-PASSWORD\",\"engine\":\"mysql\",\"host\":\"secretsmanagertutorial.cluster.us-west-2.rds.amazonaws.com\",\"port\":3306,\"dbClusterIdentifier\":\"secretsmanagertutorial\"}",
            "VersionStages": [
                "AWSCURRENT"
            ],
            "CreatedDate": "1523477145.729"
        },
        {
            "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MySecret2-a1b2c3",
            "Name": "MySecret2",
            "VersionId": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
            "SecretString": "{\"username\":\"akua_mansa\",\"password\":\"EXAMPLE-PASSWORD\"",
            "VersionStages": [
                "AWSCURRENT"
            ],
            "CreatedDate": "1673477781.275"
        },
        {
            "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MySecret3-a1b2c3",
            "Name": "MySecret3",
            "VersionId": "a1b2c3d4-5678-90ab-cdef-EXAMPLEccccc",
            "SecretString": "{\"username\":\"jie_liu\",\"password\":\"EXAMPLE-PASSWORD\"",
            "VersionStages": [
                "AWSCURRENT"
            ],
            "CreatedDate": "1373477721.124"
        }
    ],
    "Errors": []
}

Para obter mais informações, consulte Recuperar um grupo de segredos em um lote no Guia do usuário do AWS Secrets Manager.

Exemplo 2: recuperar o valor do segredo de um grupo de segredos selecionados pelo filtro

O exemplo batch-get-secret-value a seguir obtém os segredos do valor do segredo em sua conta que têm MySecret no nome. A filtragem por nome diferencia maiúsculas de minúsculas.


aws secretsmanager batch-get-secret-value \
    --filters Key="name",Values="MySecret"

Saída:


{
    "SecretValues": [
        {
            "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MySecret1-a1b2c3",
            "Name": "MySecret1",
            "VersionId": "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa",
            "SecretString": "{\"username\":\"diego_ramirez\",\"password\":\"EXAMPLE-PASSWORD\",\"engine\":\"mysql\",\"host\":\"secretsmanagertutorial.cluster.us-west-2.rds.amazonaws.com\",\"port\":3306,\"dbClusterIdentifier\":\"secretsmanagertutorial\"}",
            "VersionStages": [
                "AWSCURRENT"
            ],
            "CreatedDate": "1523477145.729"
        },
        {
            "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MySecret2-a1b2c3",
            "Name": "MySecret2",
            "VersionId": "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb",
            "SecretString": "{\"username\":\"akua_mansa\",\"password\":\"EXAMPLE-PASSWORD\"",
            "VersionStages": [
                "AWSCURRENT"
            ],
            "CreatedDate": "1673477781.275"
        },
        {
            "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MySecret3-a1b2c3",
            "Name": "MySecret3",
            "VersionId": "a1b2c3d4-5678-90ab-cdef-EXAMPLEccccc",
            "SecretString": "{\"username\":\"jie_liu\",\"password\":\"EXAMPLE-PASSWORD\"",
            "VersionStages": [
                "AWSCURRENT"
            ],
            "CreatedDate": "1373477721.124"
        }
    ],
    "Errors": []
}

Para obter mais informações, consulte Recuperar um grupo de segredos em um lote no Guia do usuário do AWS Secrets Manager.

Para obter detalhes da API, consulte BatchGetSecretValueem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar cancel-rotate-secret.

AWS CLI

Para desativar a alternância automática de um segredo

O exemplo cancel-rotate-secret a seguir desativa a alternância automática de um segredo. Para retomar a alternância, chame rotate-secret.


aws secretsmanager cancel-rotate-secret \
    --secret-id MyTestSecret

Saída:


{
  "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-a1b2c3",
  "Name": "MyTestSecret"
}

Para obter mais informações, consulte Alternar um segredo no Guia do usuário do Secrets Manager.

Para obter detalhes da API, consulte CancelRotateSecretem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar create-secret.

AWS CLI

Exemplo 1: criar um segredo com base nas credenciais de um arquivo JSON

O exemplo create-secret a seguir cria um segredo com base em credenciais em um arquivo. Para obter mais informações, consulte Carregando parâmetros da AWS CLI de um arquivo no Guia do usuário da AWS CLI.


aws secretsmanager create-secret \
    --name MyTestSecret \
    --secret-string file://mycreds.json

Conteúdo de mycreds.json:


{
  "engine": "mysql",
  "username": "saanvis",
  "password": "EXAMPLE-PASSWORD",
  "host": "my-database-endpoint.us-west-2.rds.amazonaws.com",
  "dbname": "myDatabase",
  "port": "3306"
}

Saída:


{
  "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-a1b2c3",
  "Name": "MyTestSecret",
  "VersionId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}

Para obter mais informações, consulte Criar um segredo no Guia do usuário do Secrets Manager.

Exemplo 2: criar um segredo

O seguinte exemplo de create-secret cria um segredo com dois pares de chave/valor. Quando você insere comandos em um shell de comando, existe o risco de o histórico de comandos ser acessado ou de utilitários terem acesso aos seus parâmetros de comando. Isso é um motivo de preocupação se o comando incluir o valor de um segredo. Para obter mais informações, consulte Mitigar os riscos do uso de ferramentas de linha de comando para armazenar segredos no Guia do usuário do Secrets Manager.


aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"

Saída:


{
  "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-a1b2c3",
  "Name": "MyTestSecret",
  "VersionId": "EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE"
}

Para obter mais informações, consulte Criar um segredo no Guia do usuário do Secrets Manager.

Para obter detalhes da API, consulte CreateSecretem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar delete-resource-policy.

AWS CLI

Para excluir a política baseada em recursos anexada a um segredo

O exemplo de delete-resource-policy a seguir exclui a política baseada em recurso anexada a um segredo.


aws secretsmanager delete-resource-policy \
    --secret-id MyTestSecret

Saída:


{
    "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-a1b2c3",
    "Name": "MyTestSecret"
}

Para obter mais informações, consulte Controle de acesso e autenticação no Guia do usuário do Secrets Manager.

Para obter detalhes da API, consulte DeleteResourcePolicyem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar delete-secret.

AWS CLI

Exemplo 1: como excluir um segredo

O exemplo de delete-secret a seguir exclui um segredo. É possível recuperar o segredo com restore-secret até a data e a hora presentes no campo de resposta DeletionDate. Para excluir um segredo que está replicado em outras regiões, primeiro remova suas réplicas com remove-regions-from-replication e então chame delete-secret.


aws secretsmanager delete-secret \
    --secret-id MyTestSecret \
    --recovery-window-in-days 7

Saída:


{
    "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-a1b2c3",
    "Name": "MyTestSecret",
    "DeletionDate": 1524085349.095
}

Para obter mais informações, consulte Excluir um segredo no Guia do usuário do Secrets Manager.

Exemplo 2: como excluir um segredo instantaneamente

O exemplo de delete-secret a seguir exclui imediatamente um segredo sem uma janela de recuperação. Não é possível recuperar esse segredo.


aws secretsmanager delete-secret \
    --secret-id MyTestSecret \
    --force-delete-without-recovery

Saída:


{
    "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-a1b2c3",
    "Name": "MyTestSecret",
    "DeletionDate": 1508750180.309
}

Para obter mais informações, consulte Excluir um segredo no Guia do usuário do Secrets Manager.

Para obter detalhes da API, consulte DeleteSecretem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar describe-secret.

AWS CLI

Para recuperar os detalhes de um segredo

O exemplo de describe-secret a seguir mostra os detalhes de um segredo.


aws secretsmanager describe-secret \
    --secret-id MyTestSecret

Saída:


{
    "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-Ca8JGt",
    "Name": "MyTestSecret",
    "Description": "My test secret",
    "KmsKeyId": "arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE",
    "RotationEnabled": true,
    "RotationLambdaARN": "arn:aws:lambda:us-west-2:123456789012:function:MyTestRotationLambda",
    "RotationRules": {
        "AutomaticallyAfterDays": 2,
        "Duration": "2h",
        "ScheduleExpression": "cron(0 16 1,15 * ? *)"
    },
    "LastRotatedDate": 1525747253.72,
    "LastChangedDate": 1523477145.729,
    "LastAccessedDate": 1524572133.25,
    "Tags": [
        {
            "Key": "SecondTag",
            "Value": "AnotherValue"
        },
        {
            "Key": "FirstTag",
            "Value": "SomeValue"
        }
    ],
    "VersionIdsToStages": {
        "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111": [
            "AWSPREVIOUS"
        ],
        "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222": [
            "AWSCURRENT"
        ],
        "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333": [
            "AWSPENDING"
        ]
    },
    "CreatedDate": 1521534252.66,
    "PrimaryRegion": "us-west-2",
    "ReplicationStatus": [
        {
            "Region": "eu-west-3",
            "KmsKeyId": "alias/aws/secretsmanager",
            "Status": "InSync",
            "StatusMessage": "Replication succeeded"
        }
    ]
}

Para obter mais informações, consulte Segredo no Guia do usuário do Secrets Manager.

Para obter detalhes da API, consulte DescribeSecretem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-random-password.

AWS CLI

Como gerar uma senha aleatória

O exemplo get-random-password a seguir gera uma senha aleatória de 20 caracteres que inclui pelo menos uma letra maiúscula, uma minúscula, um número e um sinal de pontuação.


aws secretsmanager get-random-password \
    --require-each-included-type \
    --password-length 20

Saída:


{
    "RandomPassword": "EXAMPLE-PASSWORD"
}

Para obter mais informações, consulte Criar e gerenciar segredos no Guia do usuário do Secrets Manager.

Para obter detalhes da API, consulte GetRandomPasswordem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-resource-policy.

AWS CLI

Para recuperar a política baseada em recursos anexada a um segredo

O exemplo de get-resource-policy a seguir recupera a política baseada em recurso anexada a um segredo.


aws secretsmanager get-resource-policy \
    --secret-id MyTestSecret

Saída:


{
    "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-a1b2c3",
    "Name": "MyTestSecret",
    "ResourcePolicy": "{\n\"Version\":\"2012-10-17\",\n\"Statement\":[{\n\"Effect\":\"Allow\",\n
    \"Principal\":{\n\"AWS\":\"arn:aws:iam::123456789012:root\"\n},\n\"Action\":
    \"secretsmanager:GetSecretValue\",\n\"Resource\":\"*\"\n}]\n}"
}

Para obter mais informações, consulte Controle de acesso e autenticação no Guia do usuário do Secrets Manager.

Para obter detalhes da API, consulte GetResourcePolicyem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar get-secret-value.

AWS CLI

Exemplo 1: recuperar o valor secreto criptografado de um segredo

O exemplo de get-secret-value a seguir obtém o valor atual do segredo.


aws secretsmanager get-secret-value \
    --secret-id MyTestSecret

Saída:


{
    "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-a1b2c3",
    "Name": "MyTestSecret",
    "VersionId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "SecretString": "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}",
    "VersionStages": [
        "AWSCURRENT"
    ],
    "CreatedDate": 1523477145.713
}

Para obter mais informações, consulte Recuperar segredos no Guia do usuário do Secrets Manager.

Exemplo 2: como recuperar o valor secreto anterior

O seguinte exemplo de get-secret-value recupera o valor secreto anterior:


aws secretsmanager get-secret-value \
    --secret-id MyTestSecret
    --version-stage AWSPREVIOUS

Saída:


{
    "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-a1b2c3",
    "Name": "MyTestSecret",
    "VersionId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
    "SecretString": "{\"user\":\"diegor\",\"password\":\"PREVIOUS-EXAMPLE-PASSWORD\"}",
    "VersionStages": [
        "AWSPREVIOUS"
    ],
    "CreatedDate": 1523477145.713
}

Para obter mais informações, consulte Recuperar segredos no Guia do usuário do Secrets Manager.

Para obter detalhes da API, consulte GetSecretValueem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-secret-version-ids.

AWS CLI

Para listar todas as versões secretas associadas a um segredo

O exemplo list-secret-version-ids a seguir obtém uma lista de todas as versões de um segredo.


aws secretsmanager list-secret-version-ids \
    --secret-id MyTestSecret

Saída:


{
  "Versions": [
    {
        "VersionId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "VersionStages": [
            "AWSPREVIOUS"
        ],
        "LastAccessedDate": 1523477145.713,
        "CreatedDate": 1523477145.713
    },
    {
        "VersionId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
        "VersionStages": [
            "AWSCURRENT"
        ],
        "LastAccessedDate": 1523477145.713,
        "CreatedDate": 1523486221.391
    },
    {
        "CreatedDate": 1.51197446236E9,
        "VersionId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE33333;"
    }
    ],
    "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-a1b2c3",
    "Name": "MyTestSecret"
}

Para obter mais informações, consulte Versão no Guia do usuário do Secrets Manager.

Para obter detalhes da API, consulte ListSecretVersionIdsem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar list-secrets.

AWS CLI

Exemplo 1: listar os segredos na conta

O exemplo de list-secrets a seguir mostra uma lista dos segredos em sua conta.


aws secretsmanager list-secrets

Saída:


{
    "SecretList": [
        {
            "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-a1b2c3",
            "Name": "MyTestSecret",
            "LastChangedDate": 1523477145.729,
            "SecretVersionsToStages": {
                "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111": [
                    "AWSCURRENT"
                ]
            }
        },
        {
            "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:AnotherSecret-d4e5f6",
            "Name": "AnotherSecret",
            "LastChangedDate": 1523482025.685,
            "SecretVersionsToStages": {
                "a1b2c3d4-5678-90ab-cdef-EXAMPLE22222": [
                    "AWSCURRENT"
                ]
            }
        }
    ]
}

Para obter mais informações, consulte Localizar segredos no Guia do usuário do Secrets Manager.

Exemplo 2: como filtrar os segredos na conta

O exemplo de list-secrets a seguir obtém uma lista dos segredos em sua conta que têm Test no nome. A filtragem por nome diferencia maiúsculas de minúsculas.


aws secretsmanager list-secrets \
    --filter Key="name",Values="Test"

Saída:


{
    "SecretList": [
        {
            "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-a1b2c3",
            "Name": "MyTestSecret",
            "LastChangedDate": 1523477145.729,
            "SecretVersionsToStages": {
                "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111": [
                    "AWSCURRENT"
                ]
            }
        }
    ]
}

Para obter mais informações, consulte Localizar segredos no Guia do usuário do Secrets Manager.

Exemplo 3: como listar os segredos na conta gerenciada por outro serviço

O exemplo de list-secrets a seguir retorna os segredos da sua conta que são gerenciados pelo Amazon RDS.


aws secretsmanager list-secrets \
    --filter Key="owning-service",Values="rds"

Saída:


{
    "SecretList": [
        {
            "Name": "rds!cluster-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "Tags": [
                {
                    "Value": "arn:aws:rds:us-west-2:123456789012:cluster:database-1",
                    "Key": "aws:rds:primaryDBClusterArn"
                },
                {
                    "Value": "rds",
                    "Key": "aws:secretsmanager:owningService"
                }
            ],
            "RotationRules": {
                "AutomaticallyAfterDays": 1
            },
            "LastChangedDate": 1673477781.275,
            "LastRotatedDate": 1673477781.26,
            "SecretVersionsToStages": {
                "a1b2c3d4-5678-90ab-cdef-EXAMPLEaaaaa": [
                    "AWSPREVIOUS"
                ],
                "a1b2c3d4-5678-90ab-cdef-EXAMPLEbbbbb": [
                    "AWSCURRENT",
                    "AWSPENDING"
                ]
            },
            "OwningService": "rds",
            "RotationEnabled": true,
            "CreatedDate": 1673467300.7,
            "LastAccessedDate": 1673395200.0,
            "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:rds!cluster-a1b2c3d4-5678-90ab-cdef-EXAMPLE11111-a1b2c3",
            "Description": "Secret associated with primary RDS DB cluster: arn:aws:rds:us-west-2:123456789012:cluster:database-1"
        }
    ]
}

Para obter mais informações, consulte o Segredos gerenciados por outros serviços no Guia do usuário do Secrets Manager.

Para obter detalhes da API, consulte ListSecretsem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar put-resource-policy.

AWS CLI

Para adicionar uma política baseada em recurso a um segredo

O exemplo de put-resource-policy a seguir adiciona uma política de permissões a um segredo, verificando primeiro se a política não fornece acesso amplo ao segredo. A política é lida de um arquivo. Para obter mais informações, consulte Carregando parâmetros da AWS CLI de um arquivo no Guia do usuário da AWS CLI.


aws secretsmanager put-resource-policy \
    --secret-id MyTestSecret \
    --resource-policy file://mypolicy.json \
    --block-public-policy

Conteúdo de mypolicy.json:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/MyRole"
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*"
        }
    ]
}

Saída:


{
    "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-a1b2c3",
    "Name": "MyTestSecret"
}

Para obter mais informações, consulte Anexar uma política de permissões a um segredo no Guia do usuário do Secrets Manager.

Para obter detalhes da API, consulte PutResourcePolicyem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar put-secret-value.

AWS CLI

Exemplo 1: como armazenar um novo valor secreto em um segredo

O exemplo de put-secret-value a seguir cria uma nova versão de um segredo com dois pares de chave/valor.


aws secretsmanager put-secret-value \
    --secret-id MyTestSecret \
    --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"

Saída:


{
    "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-1a2b3c",
    "Name": "MyTestSecret",
    "VersionId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "VersionStages": [
        "AWSCURRENT"
    ]
}

Para obter mais informações, consulte Modificar um segredo no Guia do usuário do Secrets Manager.

Exemplo 2: como armazenar um novo valor secreto das credenciais em um arquivo JSON

O exemplo de put-secret-value a seguir cria uma nova versão de um segredo com base em credenciais em um arquivo. Para obter mais informações, consulte Carregando parâmetros da AWS CLI de um arquivo no Guia do usuário da AWS CLI.


aws secretsmanager put-secret-value \
    --secret-id MyTestSecret \
    --secret-string file://mycreds.json

Conteúdo de mycreds.json:


{
  "engine": "mysql",
  "username": "saanvis",
  "password": "EXAMPLE-PASSWORD",
  "host": "my-database-endpoint.us-west-2.rds.amazonaws.com",
  "dbname": "myDatabase",
  "port": "3306"
}

Saída:


{
    "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-a1b2c3",
    "Name": "MyTestSecret",
    "VersionId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "VersionStages": [
        "AWSCURRENT"
    ]
}

Para obter mais informações, consulte Modificar um segredo no Guia do usuário do Secrets Manager.

Para obter detalhes da API, consulte PutSecretValueem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar remove-regions-from-replication.

AWS CLI

Para excluir um segredo de réplica

O exemplo de remove-regions-from-replication a seguir exclui um segredo de réplica em eu-west-3. Para excluir um segredo primário que está replicado em outras regiões, primeiro remova as réplicas e então chame delete-secret.


aws secretsmanager remove-regions-from-replication \
    --secret-id MyTestSecret \
    --remove-replica-regions eu-west-3

Saída:


{
    "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-1a2b3c",
    "ReplicationStatus": []
}

Para obter mais informações, consulte Excluir um segredo de réplica no Guia do usuário do Secrets Manager.

Para obter detalhes da API, consulte RemoveRegionsFromReplicationem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar replicate-secret-to-regions.

AWS CLI

Como replicar um segredo para outra região

O exemplo de replicate-secret-to-regions a seguir replica um segredo para eu-west-3. A réplica é criptografada com a chave AWS aws/secretsmanager gerenciada.


aws secretsmanager replicate-secret-to-regions \
    --secret-id MyTestSecret \
    --add-replica-regions Region=eu-west-3

Saída:


{
    "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-1a2b3c",
    "ReplicationStatus": [
        {
            "Region": "eu-west-3",
            "KmsKeyId": "alias/aws/secretsmanager",
            "Status": "InProgress"
        }
    ]
}

Para obter mais informações, consulte Replicar um segredo para outra região no Guia do usuário do Secrets Manager.

Para obter detalhes da API, consulte ReplicateSecretToRegionsem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar restore-secret.

AWS CLI

Como restaurar um segredo excluído anteriormente

O exemplo de restore-secret a seguir restaura um segredo que estava previamente programado para exclusão.


aws secretsmanager restore-secret \
    --secret-id MyTestSecret

Saída:


{
    "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-a1b2c3",
    "Name": "MyTestSecret"
}

Para obter mais informações, consulte Excluir um segredo no Guia do usuário do Secrets Manager.

Para obter detalhes da API, consulte RestoreSecretem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar rotate-secret.

AWS CLI

Exemplo 1: configurar e iniciar a alternância automática de um segredo

O exemplo rotate-secret a seguir configura e inicia a alternância automática para um segredo. O Secrets Manager alterna o segredo uma vez imediatamente e, em seguida, a cada oito horas em uma janela de duas horas. A saída mostra o VersionId da nova versão de segredo criada por alternância.


aws secretsmanager rotate-secret \
    --secret-id MyTestDatabaseSecret \
    --rotation-lambda-arn arn:aws:lambda:us-west-2:1234566789012:function:SecretsManagerTestRotationLambda \
    --rotation-rules "{\"ScheduleExpression\": \"cron(0 8/8 * * ? *)\", \"Duration\": \"2h\"}"

Saída:


{
    "ARN": "aws:arn:secretsmanager:us-west-2:123456789012:secret:MyTestDatabaseSecret-a1b2c3",
    "Name": "MyTestDatabaseSecret",
    "VersionId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}

Para obter mais informações, consulte o Alternar segredos no Guia do usuário do Secrets Manager.

Exemplo 2: configurar e iniciar a alternância automática em um intervalo de alternância

O exemplo rotate-secret a seguir configura e inicia a alternância automática para um segredo. O Secrets Manager alterna o segredo uma vez imediatamente e depois a cada 10 dias. A saída mostra o VersionId da nova versão de segredo criada por alternância.


aws secretsmanager rotate-secret \
    --secret-id MyTestDatabaseSecret \
    --rotation-lambda-arn arn:aws:lambda:us-west-2:1234566789012:function:SecretsManagerTestRotationLambda \
    --rotation-rules "{\"ScheduleExpression\": \"rate(10 days)\"}"

Saída:


{
    "ARN": "aws:arn:secretsmanager:us-west-2:123456789012:secret:MyTestDatabaseSecret-a1b2c3",
    "Name": "MyTestDatabaseSecret",
    "VersionId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}

Para obter mais informações, consulte o Alternar segredos no Guia do usuário do Secrets Manager.

Exemplo 3: alternar um segredo instantaneamente

O exemplo de rotate-secret a seguir inicia uma alternância imediata. A saída mostra o VersionId da nova versão de segredo criada por alternância. O segredo já deve ter a alternância configurada.


aws secretsmanager rotate-secret \
    --secret-id MyTestDatabaseSecret

Saída:


{
    "ARN": "aws:arn:secretsmanager:us-west-2:123456789012:secret:MyTestDatabaseSecret-a1b2c3",
    "Name": "MyTestDatabaseSecret",
    "VersionId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}

Para obter mais informações, consulte o Alternar segredos no Guia do usuário do Secrets Manager.

Para obter detalhes da API, consulte RotateSecretem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar stop-replication-to-replica.

AWS CLI

Como promover um segredo de réplica a um segredo primário

O exemplo de stop-replication-to-replica a seguir remove o link entre um segredo de réplica e o primário. O segredo de réplica é promovido a um segredo primário na região da réplica. É necessário chamar stop-replication-to-replica diretamente da região da réplica.


aws secretsmanager stop-replication-to-replica \
    --secret-id MyTestSecret

Saída:


{
    "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-a1b2c3"
}

Para obter mais informações, consulte Promover um segredo de réplica no Guia do usuário do Secrets Manager.

Para obter detalhes da API, consulte StopReplicationToReplicaem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar tag-resource.

AWS CLI

Exemplo 1: adicionar uma tag a um segredo

O exemplo de a seguir mostra como anexar um tag com uma sintaxe abreviada.


aws secretsmanager tag-resource \
    --secret-id MyTestSecret \
    --tags Key=FirstTag,Value=FirstValue

Este comando não produz saída.

Para obter mais informações, consulte Marcar seus segredos no Guia do usuário do Secrets Manager.

Exemplo 2: adicionar várias tags a um segredo

O exemplo de tag-resource a seguir anexa duas tags de chave/valor a um segredo.


aws secretsmanager tag-resource \
    --secret-id MyTestSecret \
    --tags '[{"Key": "FirstTag", "Value": "FirstValue"}, {"Key": "SecondTag", "Value": "SecondValue"}]'

Este comando não produz saída.

Para obter mais informações, consulte Marcar segredos no Guia do usuário do Secrets Manager.

Para obter detalhes da API, consulte TagResourceem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar untag-resource.

AWS CLI

Para remover tags de um segredo

O exemplo de untag-resource a seguir remove duas tags de um segredo. Para cada tag, tanto a chave quanto o valor são removidos.


aws secretsmanager untag-resource \
    --secret-id MyTestSecret \
    --tag-keys '[ "FirstTag", "SecondTag"]'

Este comando não produz saída.

Para obter mais informações, consulte Marcar segredos no Guia do usuário do Secrets Manager.

Para obter detalhes da API, consulte UntagResourceem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar update-secret-version-stage.

AWS CLI

Exemplo 1: reverter um segredo para a versão anterior

O update-secret-version-stage exemplo a seguir move o rótulo de teste AWS CURRENT para a versão anterior de um segredo, o que reverte o segredo para a versão anterior. Para encontrar o ID da versão anterior, use list-secret-version-ids. Neste exemplo, a versão com o rótulo AWS CURRENT é a1b2c3d4-5678-90ab-cdef- e a versão com o rótulo PREVIOUS é a1b2c3d4-5678-90ab-cdef-. EXAMPLE11111 AWS EXAMPLE22222 Neste exemplo, você move o rótulo AWS CURRENT da versão 11111 para 22222. Como o rótulo AWS CURRENT é removido de uma versão, move update-secret-version-stage automaticamente o rótulo AWS PREVIOUS para essa versão (11111). O efeito é que as versões AWS ATUAL e AWS ANTERIOR são trocadas.


aws secretsmanager update-secret-version-stage \
    --secret-id MyTestSecret \
    --version-stage AWSCURRENT \
    --move-to-version-id a1b2c3d4-5678-90ab-cdef-EXAMPLE22222 \
    --remove-from-version-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Saída:


{
    "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-a1b2c3",
    "Name": "MyTestSecret"
}

Para obter mais informações, consulte Versão no Guia do usuário do Secrets Manager.

Exemplo 2: adicionar um rótulo de teste anexado a uma versão de um segredo

O exemplo update-secret-version-stage a seguir adiciona um rótulo de teste a uma versão de um segredo. Você pode revisar os resultados executando list-secret-version-ids e visualizando o campo de resposta VersionStages da versão afetada.


aws secretsmanager update-secret-version-stage \
    --secret-id MyTestSecret \
    --version-stage STAGINGLABEL1 \
    --move-to-version-id EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE

Saída:


{
    "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-a1b2c3",
    "Name": "MyTestSecret"
}

Para obter mais informações, consulte Versão no Guia do usuário do Secrets Manager.

Exemplo 3: excluir um rótulo de teste anexado a uma versão de um segredo

O exemplo update-secret-version-stage a seguir exclui um rótulo de teste anexado a uma versão de um segredo. Você pode revisar os resultados executando list-secret-version-ids e visualizando o campo de resposta VersionStages da versão afetada.


aws secretsmanager update-secret-version-stage \
    --secret-id MyTestSecret \
    --version-stage STAGINGLABEL1 \
    --remove-from-version-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Saída:


{
    "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-a1b2c3",
    "Name": "MyTestSecret"
}

Para obter mais informações, consulte Versão no Guia do usuário do Secrets Manager.

Para obter detalhes da API, consulte UpdateSecretVersionStageem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar update-secret.

AWS CLI

Exemplo 1: como atualizar a descrição de um segredo

O exemplo de update-secret a seguir retorna a descrição de um segredo.


aws secretsmanager update-secret \
    --secret-id MyTestSecret \
    --description "This is a new description for the secret."

Saída:


{
    "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-a1b2c3",
    "Name": "MyTestSecret"
}

Para obter mais informações, consulte Modificar um segredo no Guia do usuário do Secrets Manager.

Exemplo 2: como atualizar a chave de criptografia associada a um segredo

O exemplo de update-secret a seguir atualiza a chave do KMS usada para criptografar o valor do segredo. A chave do KMS precisa estar na mesma do segredo.


aws secretsmanager update-secret \
    --secret-id MyTestSecret \
    --kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE

Saída:


{
    "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:MyTestSecret-a1b2c3",
    "Name": "MyTestSecret"
}

Para obter mais informações, consulte Modificar um segredo no Guia do usuário do Secrets Manager.

Para obter detalhes da API, consulte UpdateSecretem Referência de AWS CLI Comandos.

O código de exemplo a seguir mostra como usar validate-resource-policy.

AWS CLI

Para validar uma política de recursos

O exemplo validate-resource-policy a seguir verifica se uma política de recursos não concede amplo acesso a um segredo. A política é lida de um arquivo no disco. Para obter mais informações, consulte Carregando parâmetros da AWS CLI de um arquivo no Guia do usuário da AWS CLI.


aws secretsmanager validate-resource-policy \
    --resource-policy file://mypolicy.json

Conteúdo de mypolicy.json:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/MyRole"
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*"
        }
    ]
}

Saída:


{
    "PolicyValidationPassed": true,
    "ValidationErrors": []
}

Para obter mais informações, consulte ‭Referência de permissões do Secrets Manager‭‬ no Guia do usuário‭ do Secrets Manager.

Para obter detalhes da API, consulte ValidateResourcePolicyem Referência de AWS CLI Comandos.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

S3 Glacier

Security Hub