As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Práticas recomendadas de criptografia para AWS Secrets Manager
O [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) ajuda a substituir credenciais codificadas, incluindo senhas, por uma chamada de API ao Secrets Manager para recuperar o segredo por programação. O Secrets Manager se AWS KMS integra para criptografar cada versão de cada valor secreto com uma chave de dados exclusiva que é protegida por um. AWS KMS key Essa integração protege segredos armazenados com chaves de criptografia que nunca saem AWS KMS sem criptografia. Também é possível definir permissões personalizadas na chave do KMS para auditar as operações que geram, criptografam e descriptografam as chaves de dados que protegem seus segredos armazenados. Para obter mais informações, consulte [Criptografia e descriptografia de dados no AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html).
Considere as seguintes práticas recomendadas de criptografia para esse serviço:
+ Na maioria dos casos, recomendamos usar a chave `aws/secretsmanager` AWS gerenciada para criptografar segredos. Não há custo para seu uso.
+ Para poder acessar um segredo de outra conta ou aplicar uma política de chaves à chave de criptografia, use uma chave gerenciada pelo cliente para criptografar o segredo.
+ Na política de chaves, atribua o valor `secretsmanager..amazonaws.com` à chave de ViaService condição [kms:](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service). Isso limita o uso da chave somente às solicitações do Secrets Manager.
+ Para limitar ainda mais o uso da chave somente a solicitações do Secrets Manager com o contexto correto, use chaves ou valores no [contexto de criptografia do Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html#security-encryption-encryption-context) como condição para usar a chave do KMS, criando:
+ Um [operador de condição de string](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String) em uma política do IAM ou política de chave
+ Uma [restrição de concessão](https://docs.aws.amazon.com/kms/latest/APIReference/API_GrantConstraints.html) em uma concessão