As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Usando segredos externos AWS Secrets Manager gerenciados para gerenciar segredos de terceiros
Segredos externos gerenciados são um novo tipo de segredo AWS Secrets Manager que permite armazenar e alternar automaticamente as credenciais dos parceiros de integração. Esse recurso elimina a necessidade de criar e manter AWS Lambda funções personalizadas para rotatividade de segredos de parceiros de integração. Para obter uma lista completa de todos os parceiros integrados, consulte Parceiros de [integração](mes-partners.md).
Quando você cria aplicativos AWS, suas cargas de trabalho geralmente precisam interagir com aplicativos de terceiros por meio de credenciais seguras, como chaves de API, OAuth tokens ou pares de credenciais. Anteriormente, era necessário desenvolver abordagens personalizadas para proteger e gerenciar essas credenciais, incluindo a criação de funções Lambda de rotação complexas que eram exclusivas para cada aplicativo e exigiam manutenção contínua.
Segredos externos gerenciados fornecem uma abordagem padronizada para armazenar credenciais de terceiros em um formato predefinido prescrito por cada parceiro. O recurso inclui rotação automática que é ativada (por padrão no console) durante a criação de segredos, transparência total e controles de usuário para fluxos de trabalho de gerenciamento de segredos e o conjunto completo de recursos oferecido pelo Secrets Manager, incluindo gerenciamento refinado de permissões, observabilidade, governança, conformidade, recuperação de desastres e controles de monitoramento.
## Recursos principais do
Os segredos externos gerenciados oferecem vários recursos importantes que simplificam o gerenciamento de credenciais de terceiros:
+ A **rotação gerenciada sem Lambda** elimina a sobrecarga de criar e gerenciar funções de rotação personalizadas. Quando você cria um externo, a rotação é ativada automaticamente sem nenhuma função Lambda implantada em sua conta.
+ Os **formatos secretos predefinidos** garantem que os segredos possam ser associados adequadamente ao parceiro de integração e incluam os metadados necessários para a rotação. Cada parceiro define o formato necessário.
+ O **ecossistema integrado de parceiros** fornece suporte para vários parceiros por meio de um processo de integração padronizado. Os parceiros se integram diretamente ao Secrets Manager para oferecer orientação programática para criação de segredos e recursos de rotação gerenciada.
+ A **auditabilidade completa mantém a** transparência total por meio do AWS CloudTrail registro de todas as atividades de rotação, atualizações secretas de valores e operações de gerenciamento.
# Segredos externos gerenciados Parceiros
O Secrets Manager se integra nativamente a aplicativos de terceiros para alternar os segredos mantidos pelo parceiro. Cada parceiro define os campos de metadados e valores secretos necessários para alternar os segredos.
O valor secreto contém campos que são necessários para se conectar com seu cliente terceirizado e são armazenados durante a [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)chamada. Os metadados de rotação contêm os campos que são usados para atualizar o segredo durante a rotação e são usados na [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)chamada. Esses campos serão definidos pelo parceiro de integração para permitir fluxos de rotação gerenciados.
Para que a rotação funcione corretamente, você deve fornecer ao Secrets Manager permissões específicas para gerenciar o ciclo de vida secreto. Para obter mais informações, consulte [Segurança e permissões](mes-security.md)
Os tópicos a seguir incluem uma descrição de cada um dos campos de metadados necessários para alternar o segredo, bem como uma descrição de cada um dos campos obrigatórios no segredo do Secrets Manager para alternar.
**Tópicos**
| Parceiro de integração | Tipo de segredo |
| --- | --- |
| Salesforce | [SalesforceClientSecret](mes-partner-salesforce.md) |
| BigID | [Grande IDClient segredo](mes-partner-BigId.md) |
| Snowflake | [SnowflakeKeyPairAuthentication](mes-partner-Snowflake.md) |
# Segredo do cliente Salesforce
## Campos de valor secreto
A seguir estão os campos que devem estar contidos no segredo do Secrets Manager:
```
{
"consumerKey": "client ID",
"consumerSecret": "client secret",
"baseUri": "https://domain.my.salesforce.com",
"appId": "app ID",
"consumerId": "consumer ID"
}
```
consumerKey
A chave do consumidor, também conhecida como ID do cliente, é o identificador de credencial para as credenciais OAuth 2.0. Você pode recuperar a chave do consumidor diretamente das configurações do Salesforce External Client App Manager. OAuth
consumerSecret
O segredo do consumidor, também conhecido como segredo do cliente, é a senha privada usada com a chave do consumidor para autenticar usando o fluxo de credenciais do cliente OAuth 2.0. Você pode recuperar o segredo do consumidor diretamente das configurações do Salesforce External Client App Manager. OAuth
baseUri
O URI base é o URL base da sua organização do Salesforce usado para interagir com o Salesforce. APIs Isso assume a forma do seguinte exemplo:`https://domainName.my.salesforce.com`.
appId
O ID do aplicativo é o identificador do seu aplicativo cliente externo Salesforce (ECA). Você pode recuperar isso chamando o endpoint de uso do Salesforce. OAuth Ele deve começar com `0x` e conter somente caracteres alfanuméricos. [Esse campo se refere ao external\$1client\$1app\$1identifier no guia de rotação do Salesforce.](https://help.salesforce.com/s/articleView?id=xcloud.eca_stage_oauth_credentials.htm&type=5)
ID do consumidor
O ID do consumidor é o identificador do seu consumidor do Salesforce External Client Application (ECA). Você pode recuperar isso chamando o endpoint Salesforce OAuth Credentials by App ID. Esse campo se refere ao consumer\$1id no guia de rotação do [Salesforce](https://help.salesforce.com/s/articleView?id=xcloud.eca_stage_oauth_credentials.htm&type=5).
## Campos de metadados secretos
A seguir estão os campos de metadados necessários para alternar um segredo mantido pela Salesforce.
```
{
"apiVersion": "v65.0",
"adminSecretArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:SalesforceClientSecret"
}
```
apiVersion
A versão da API do Salesforce é a versão da API da sua organização do Salesforce. A versão deve ser pelo menos v65.0. Ele deve estar no formato em `vXX.X` que `X` há um caractere numérico.
adminSecretArn
(Opcional) O ARN do segredo do administrador é o Amazon Resource Name (ARN) do segredo que contém as OAuth credenciais administrativas que serão usadas para alternar esse segredo do cliente Salesforce. No mínimo, o segredo do administrador deve conter um valor ConsumerKey e ConsumerSecret dentro da estrutura secreta. É um campo opcional e, se omitido, durante a rotação, o Secrets Manager usará OAuth as credenciais desse segredo para se autenticar no Salesforce.
## Fluxo de uso
Os clientes que armazenam segredos do Salesforce AWS Secrets Manager têm a opção de alternar um segredo com as credenciais armazenadas no mesmo segredo ou usar as credenciais no segredo do administrador para rotação. Você pode criar seu segredo usando a [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)chamada com o valor secreto contendo os campos mencionados acima e o tipo de segredo como SalesforceClientSecret. As configurações de rotação podem ser definidas usando uma [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)chamada. Essa chamada requer a especificação dos campos de metadados, como no exemplo acima. Se você optar por uma rotação usando credenciais no mesmo segredo, poderá pular o campo. adminSecretArn Além disso, os clientes devem fornecer um ARN de função na [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)chamada que conceda ao serviço as permissões necessárias para alternar o segredo. Para obter um exemplo de política de permissões, consulte [Segurança e permissões](mes-security.md).
Para clientes que optam por alternar seus segredos usando um conjunto separado de credenciais (armazenado em um segredo administrativo), certifique-se de criar o segredo administrativo AWS Secrets Manager seguindo exatamente as mesmas etapas do segredo do consumidor. Você deve fornecer o ARN desse segredo administrativo nos metadados de rotação em uma [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)chamada para seu segredo de consumidor.
A lógica de rotação segue a orientação fornecida pela Salesforce.
# Token de atualização do Big ID
## Campos de valor secreto
A seguir estão os campos que devem estar contidos no segredo do Secrets Manager:
```
{
"hostname": "Host Name",
"refreshToken": "Refresh Token"
}
```
hostname
Esse é o nome do host em que sua instância BigID está hospedada. Você deve inserir o nome de domínio totalmente qualificado da sua instância.
Token de atualização
O token de atualização do usuário JWT gerado no console BigID via Administração → Gerenciamento de acesso → Selecionar usuário → Gerar token → Salvar
## Fluxo de uso
Você pode criar seu segredo usando a [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)chamada com o valor secreto contendo os campos mencionados acima e o tipo de segredo como Big IDClient Secret. As configurações de rotação podem ser definidas usando uma [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)chamada. Você também deve fornecer um ARN de função na [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)chamada que conceda ao serviço as permissões necessárias para alternar o segredo. Por exemplo, de uma política de permissões, consulte [Segurança e permissões](mes-security.md). Observe que o campo de metadados de rotação pode ser deixado vazio para esse parceiro.
# Par de chaves Snowflake
## Campos de valor secreto
A seguir estão os campos que devem estar contidos no segredo do Secrets Manager:
```
{
"account": "Your Account Identifier",
"user": "Your user name",
"privateKey": "Your private Key",
"publicKey": "Your public Key",
"passphrase": "Your Passphrase"
}
```
usuário
O nome de usuário do Snowflake associado a essa autenticação de par de chaves. Esse usuário deve estar configurado no Snowflake para aceitar a autenticação por par de chaves, e a chave pública deve ser atribuída ao perfil desse usuário.
account
Seu identificador de conta do Snowflake usado para estabelecer a conexão. Isso pode ser extraído do URL do Snowflake (a parte antes de .snowflakecomputing.com)
privateKey
A chave privada RSA no formato PEM usada para autenticação. Os BEGIN/END marcadores são opcionais.
Chave pública
A contraparte da chave pública no formato PEM correspondente à chave privada. Os BEGIN/END marcadores são opcionais.
frase secreta
(Opcional) Esse campo se refere à frase secreta usada para descriptografar a chave privada criptografada.
## Campos de metadados secretos
A seguir estão os campos de metadados do Snowflake:
```
{
"cryptographicAlgorithm": "Your Cryptographic algorithm",
"encryptPrivateKey": "True/False"
}
```
Algoritmo criptográfico
(Opcional) Isso se refere ao algoritmo usado para geração de chaves. Você tem uma escolha de 3 algoritmos:`RS256|RS384|RS512`. Esse campo é opcional e o algoritmo padrão escolhido é RS256.
encryptPrivateKey
(Opcional) Esse campo pode ser usado para escolher se você deseja criptografar sua chave privada. Ele é "false" por padrão. A senha para criptografia é gerada aleatoriamente.
## Fluxo de uso
Você pode criar seu segredo usando a [CreateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CreateSecret.html)chamada com o valor secreto contendo os campos mencionados acima e o tipo de segredo como SnowflakeKeyPairAuthentication. As configurações de rotação podem ser definidas usando uma [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)chamada. Opcionalmente, você pode fornecer os campos de metadados secretos com base em sua necessidade. Você também deve fornecer um ARN de função na [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)chamada que conceda ao serviço as permissões necessárias para alternar o segredo. Por exemplo, de uma política de permissões, consulte [Segurança e permissões](mes-security.md). Observe que o campo de metadados de rotação pode ser deixado vazio para esse parceiro.
# Segurança e permissões
Segredos externos gerenciados não exigem que você compartilhe privilégios de administrador de suas contas de aplicativos de terceiros com. AWS Em vez disso, o processo de rotação usa credenciais e metadados que você fornece para fazer chamadas de API autorizadas para o aplicativo de terceiros para atualizações e validação de credenciais.
Os segredos externos gerenciados mantêm os mesmos padrões de segurança dos outros tipos de segredos do Secrets Manager. Os valores secretos são criptografados em repouso usando suas chaves KMS e em trânsito usando TLS. O acesso aos segredos é controlado por meio de políticas do IAM e políticas baseadas em recursos. Ao usar uma chave gerenciada pelo cliente para criptografar seu segredo, você precisará atualizar a política do IAM da função de rotação e a política de confiança da CMK para fornecer as permissões necessárias para garantir a rotação bem-sucedida.
Para que a rotação funcione corretamente, você deve fornecer ao Secrets Manager permissões específicas para gerenciar o ciclo de vida secreto. Essas permissões podem ter como escopo os segredos individuais e seguir o princípio do menor privilégio. A função de rotação que você fornece é validada durante a configuração e usada exclusivamente para operações de rotação.
Você pode restringir a entrada de IP para seu recurso externo permitindo somente os [intervalos de AWS IP](https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-ranges.html) para o EC2 na região em que seu segredo existe. Essa lista de intervalos de IP pode mudar, então você deve atualizar suas regras de entrada periodicamente.
AWS Secrets Manager também oferece soluções de toque único para criar a política do IAM com as permissões necessárias para gerenciar o segredo ao criar o segredo por meio do console do Secrets Manager. As permissões para essa função são reduzidas para cada parceiro de integração em cada região.
**Exemplo de política de permissões:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowRotationAccess",
"Action": [
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue",
"secretsmanager:UpdateSecretVersionStage"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"secretsmanager:resource/Type": "SalesforceClientSecret"
}
}
},
{
"Sid": "AllowPasswordGenerationAccess",
"Action": [
"secretsmanager:GetRandomPassword"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
```
[Observação: a lista de tipos de segredos que estão disponíveis para SecretsManager:resource/type pode ser encontrada em Parceiros de Integração.](mes-partners.md)
**Exemplo de política de confiança:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SecretsManagerPrincipalAccess",
"Effect": "Allow",
"Principal": {
"Service": "secretsmanager.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:secretsmanager:us-east-1:111122223333:secret:*"
}
}
}
]
}
```
# Monitore e solucione problemas de segredos externos gerenciados
Segredos externos gerenciados fornecem recursos abrangentes de monitoramento por meio de AWS CloudTrail registros e CloudWatch métricas da Amazon. Todas as atividades de rotação são registradas com informações detalhadas sobre sucesso, falha e quaisquer erros encontrados durante o processo.
Problemas comuns no fluxo de trabalho de rotação incluem uma configuração incorreta das permissões da função ou do valor secreto. A não definição desses campos no formato especificado pelos parceiros de integração pode causar falhas de rotação, pois o serviço não conseguirá acessar o segredo ou se conectar ao cliente do parceiro de integração para atualizar o segredo. Outros problemas podem ser problemas de conectividade de rede, expiração de credenciais ou disponibilidade de serviços de parceiros. O serviço de rotação gerenciada inclui lógica de repetição e tratamento de erros para maximizar a confiabilidade
Você pode monitorar cronogramas de rotação, taxas de sucesso e métricas de desempenho por meio da Amazon CloudWatch. Você pode configurar alarmes personalizados por meio do [Event Bridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-create-pattern.html) para alertá-lo sobre falhas de rotação ou outros problemas que exijam atenção.
# Migrando segredos existentes
Você tem a opção de migrar seus segredos de parceiros existentes para segredos externos gerenciados. Isso pode ser feito com uma [UpdateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_UpdateSecret.html)chamada. Você deve atualizar o valor secreto e os metadados conforme mencionado no guia. Se você já tiver uma lógica de rotação personalizada configurada para esses segredos, primeiro cancele a rotação usando uma [CancelRotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_CancelRotateSecret.html)chamada.
# Limitações e considerações
Segredos externos gerenciados não oferecem suporte a segredos efêmeros com vida útil inferior a quatro horas. Os segredos associados aos certificados de infraestrutura de chave pública também não são suportados.
Os segredos externos gerenciados são suportados somente por parceiros que se integraram ao. AWS Secrets Manager Para obter uma lista completa, consulte [Parceiros de integração](mes-partners.md). Não vê seu parceiro na lista? [Diga a eles que se inscrevam no AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/mes-onboarding/secrets-manager-mes-onboarding.html)
Se você atualizar ou alternar valores secretos diretamente do serviço de cliente parceiro fora do mecanismo de rotação do Secrets Manager, a sincronização entre os sistemas poderá ser interrompida. Embora o Secrets Manager forneça avisos de console e prevenção programática para atualizações manuais de valores secretos, você ainda pode modificar valores diretamente em seu aplicativo de terceiros. Para restabelecer a sincronização após out-of-band as atualizações, você deve atualizar o valor secreto para refletir o segredo correto e, em seguida, invocar a [RotateSecret](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_RotateSecret.html)API para garantir rotações bem-sucedidas contínuas.