IBM Cloud Docs
Rotar secretos manualmente

Rotar secretos manualmente

Con IBM Cloud® Secrets Manager, puede crear manualmente nuevas versiones de un secreto.

Cuando se rota un secreto en la instancia de servicio, se crea una nueva versión de su valor. Al rotar las credenciales se limita el tiempo en que un secreto puede acceder a un recurso protegido, lo que puede proteger a su empresa frente a los riesgos asociados a las credenciales que pueden suponer un riesgo. Rote los secretos regularmente, por ejemplo cada 30 o 60 días, para cumplir siempre las buenas prácticas en torno a la gestión de secretos.

Antes de empezar

Antes de empezar, asegúrese de que tiene el nivel de acceso necesario. Para rotar secretos, necesita el rol de servicio Escritor o superior.

Tipos de secretos soportados

Todos los secretos que almacene en Secrets Manager pueden rotarse y sustituirse a la carta. La forma en que Secrets Manager evalúa una solicitud de rotar un secreto depende del tipo de secreto.

Describe cómo Secrets Manager evalúa la rotación manual por tipo de secreto
Tipo Descripción de la rotación
Secretos arbitrarios Los secretos arbitrarios se sustituyen inmediatamente por los datos que usted proporciona en la rotación.
Credenciales de IAM Las credenciales de IAM, que constan de un ID de servicio y una clave de API, se regeneran inmediatamente según su configuración inicial. Si el secreto de credenciales de IAM se ha creado utilizando un ID de servicio existente en la cuenta, sólo se vuelve a generar la clave de API si se efectúa una rotación manual. En cambio, si el secreto se ha creado seleccionando un grupo de acceso, se regeneran tanto el ID de servicio como los valores de clave de API con una rotación manual. Importante: la opción Reutilizar credenciales de IAM hasta que caduque el contrato de alquiler (reuse_api_key) para un secreto de credenciales de IAM afecta a si se puede rotar manualmente. Si este campo es false o se establece en Apagado en la interfaz de usuario, no se da soporte a la rotación manual. La clave de API que se genera dinámicamente para el secreto en cada lectura ya es un valor efímero y de un solo uso.
Certificados importados Los certificados que se han importado inicialmente a una instancia de servicio se sustituyen inmediatamente por los datos que vuelve a importar al realizar la rotación.
Secretos de clave-valor Los secretos clave-valor se sustituyen inmediatamente por los datos que proporciona al realizar la rotación.
Certificados privados Los certificados privados se sustituyen inmediatamente por un certificado firmado por su entidad emisora de certificados o entidad de certificados padre.
Certificados públicos Los certificados públicos se mueven al estado Activo, pendiente de rotación para indicar que se está procesando una solicitud para rotar un certificado. Secrets Manager envía la solicitud a la entidad emisora de certificados (CA) configurada, por ejemplo Let's Encrypt, para validar la propiedad de los dominios. Si la validación se completa correctamente, se emite un nuevo certificado.
Credenciales de usuario Las contraseñas asociadas a los secretos de credenciales de usuario se sustituyen inmediatamente por los datos que se proporcionan en la rotación.
Credenciales de servicio El secreto de las credenciales de servicio se sustituye por uno nuevo. El secreto anterior permanece disponible durante el tiempo restante en el TTL definido.
Credenciales personalizadas El secreto de las credenciales personalizadas se sustituye por uno nuevo. El secreto anterior permanece disponible durante el tiempo restante en el TTL definido.

Tenga en cuenta que en el caso de las credenciales de servicio creadas para bases de datos, si además de la credencial también está alterando los permisos de base de datos para la credencial creada, estas no se sincronizarán una vez que se haya rotado la credencial de servicio. Al rotar una credencial de servicio de bases de datos, esto se considera una rotación de identidad.

Creación de nuevas versiones de secretos en la interfaz de usuario

Puede rotar manualmente los secretos y certificados utilizando la interfaz de usuario de Secrets Manager.

Rotación de secretos arbitrarios

Puede utilizar la interfaz de usuario de Secrets Manager para rotar manualmente los secretos.

  1. En la consola, pulse el icono Menú Icono de menú > Lista de recursos.
  2. En la lista de servicios, seleccione la instancia de Secrets Manager.
  3. En la interfaz de usuario de Secrets Manager, vaya a la lista Secretos.
  4. En la fila correspondiente al secreto que desea rotar, pulse el menú Acciones Icono Acciones > Rotar.
  5. Seleccione un archivo nuevo o especifique un nuevo valor secreto.
  6. Opcional: añada metadatos a su secreto o a una versión específica de su secreto.
    1. Cargue un archivo o especifique los metadatos y los metadatos de versión en formato JSON.
  7. Para rotar el secreto inmediatamente, pulse Rotar.
  8. Opcional: Compruebe el historial de versiones para ver las últimas actualizaciones.

Creación de nuevas versiones de secretos de valor de clave

Puede utilizar la interfaz de usuario de Secrets Manager para rotar manualmente los secretos clave-valor.

  1. En la consola, pulse el icono Menú Icono de menú > Lista de recursos.
  2. En la lista de servicios, seleccione la instancia de Secrets Manager.
  3. En la interfaz de usuario de Secrets Manager, vaya a la lista Secretos.
  4. En la fila correspondiente al secreto que desea rotar, pulse el menú Acciones Icono Acciones > Rotar.
  5. Seleccione un archivo o especifique un nuevo valor de secreto en formato JSON.
  6. Opcional: añada metadatos a su secreto o a una versión específica de su secreto.
    1. Cargue un archivo o especifique los metadatos y los metadatos de versión en formato JSON.
  7. Para rotar el secreto inmediatamente, pulse Rotar.
  8. Opcional: Compruebe el historial de versiones para ver las últimas actualizaciones.

Creación de nuevas versiones de credenciales de usuario

Puede utilizar la interfaz de usuario de Secrets Manager para rotar manualmente los valores de contraseña asociados a un secreto de credenciales de usuario.

  1. En la consola, pulse el icono Menú Icono de menú > Lista de recursos.

  2. En la lista de servicios, seleccione la instancia de Secrets Manager.

  3. En la interfaz de usuario de Secrets Manager, vaya a la lista Secretos.

  4. En la fila correspondiente al secreto que desea rotar, pulse el menú Acciones Icono Acciones > Rotar.

  5. Determine si desea especificar una contraseña o generar una nueva.

    Si elige generar una nueva contraseña, Secrets Manager sustituye el valor existente por una contraseña de 32 caracteres generada aleatoriamente que contiene letras mayúsculas, letras minúsculas, dígitos y símbolos.

  6. Opcional: añada metadatos a su secreto o a una versión específica de su secreto.

    1. Cargue un archivo o especifique los metadatos y los metadatos de versión en formato JSON.

  7. Para rotar el secreto inmediatamente, pulse Rotar.

  8. Opcional: Compruebe el historial de versiones para ver las últimas actualizaciones.

Creación de nuevas versiones de credenciales IAM

Puede utilizar la interfaz de usuario Secrets Manager para rotar manualmente los valores de contraseña asociados a un secreto de credenciales IAM.

  1. En la consola, pulse el icono Menú Icono de menú > Lista de recursos.
  2. En la lista de servicios, seleccione la instancia de Secrets Manager.
  3. En la interfaz de usuario de Secrets Manager, vaya a la lista Secretos.
  4. En la fila correspondiente al secreto que desea rotar, pulse el menú Acciones Icono Acciones > Rotar.
  5. Opcional: añada metadatos a su secreto o a una versión específica de su secreto.
    1. Cargue un archivo o especifique los metadatos y los metadatos de versión en formato JSON.
  6. Para rotar el secreto inmediatamente, pulse Rotar.
  7. Opcional: Compruebe el historial de versiones para ver las últimas actualizaciones.

Creación de nuevas versiones de credenciales de servicio

Puede utilizar la interfaz de usuario Secrets Manager para rotar manualmente los valores de contraseña asociados a un secreto de credenciales de servicio.

  1. En la consola, pulse el icono Menú Icono de menú > Lista de recursos.
  2. En la lista de servicios, seleccione la instancia de Secrets Manager.
  3. En la interfaz de usuario de Secrets Manager, vaya a la lista Secretos.
  4. En la fila correspondiente al secreto que desea rotar, pulse el menú Acciones Icono Acciones > Rotar.
  5. Opcional: añada metadatos a su secreto o a una versión específica de su secreto.
    1. Cargue un archivo o especifique los metadatos y los metadatos de versión en formato JSON.
  6. Para rotar el secreto inmediatamente, pulse Rotar.
  7. Opcional: Compruebe el historial de versiones para ver las últimas actualizaciones.

Creación de nuevas versiones de credenciales personalizadas

Puede utilizar la interfaz de usuario Secrets Manager para rotar manualmente los valores de contraseña asociados a un secreto de credenciales personalizado.

  1. En la consola, pulse el icono Menú Icono de menú > Lista de recursos.
  2. En la lista de servicios, seleccione la instancia de Secrets Manager.
  3. En la interfaz de usuario de Secrets Manager, vaya a la lista Secretos.
  4. En la fila correspondiente al secreto que desea rotar, pulse el menú Acciones Icono Acciones > Rotar.
  5. Opcional: añada metadatos a su secreto o a una versión específica de su secreto.
    1. Cargue un archivo o especifique los metadatos y los metadatos de versión en formato JSON.
  6. Para rotar el secreto inmediatamente, pulse Rotar.
  7. Opcional: Compruebe el historial de versiones para ver las últimas actualizaciones.

Creación de nuevas versiones de certificados importados

Cuando toque renovar un certificado que se había importado inicialmente al servicio, puede utilizar la interfaz de usuario de Secrets Manager para reimportarlo manualmente. Después de rotar un certificado, la versión anterior se conserva en caso de que la necesite.

Si el certificado que está rotando se ha importado previamente con un certificado intermedio y una clave privada, incluya un certificado intermedio y una clave privada en la rotación para evitar interrupciones de servicio.

  1. En la consola, pulse el icono Menú Icono de menú > Lista de recursos.

  2. En la lista de servicios, seleccione la instancia de Secrets Manager.

  3. En la interfaz de usuario de Secrets Manager, vaya a la lista Secretos.

  4. En la fila correspondiente al certificado que desea rotar, pulse el menú Acciones Icono Acciones > Rotar.

  5. Seleccione o especifique los nuevos datos del certificado.

    Tenga en cuenta que la rotación manual de un certificado sustituye el contenido del certificado por los nuevos datos que se proporcionan únicamente. Las claves privadas y los certificados intermedios de las versiones anteriores no se conservan.

  6. Para rotar el certificado inmediatamente, pulse Rotar.

  7. Opcional: Compruebe el historial de versiones para ver las últimas actualizaciones.

  8. Vuelva a desplegar la última versión del certificado en el punto de terminación TLS.

    Para acceder a la versión actual, puede descargar el certificado o recuperarlo mediante programación utilizando la API Obtener un secreto.

Creación de nuevas versiones de certificados importados con CSR gestionada

Puede utilizar la interfaz de usuario de Secrets Manager para crear la primera versión del certificado, o la siguiente versión cuando llegue el momento de renovarlo.

  1. En la consola, pulse el icono Menú Icono de menú > Lista de recursos.
  2. En la lista de servicios, seleccione la instancia de Secrets Manager.
  3. En la interfaz de usuario de Secrets Manager, vaya a la lista Secretos.
  4. En la fila correspondiente al certificado que desea rotar, pulse el menú Acciones Icono Acciones > Rotar.
  5. Seleccione el archivo de certificado que se firmó utilizando la CSR actual o introduzca sus datos.
  6. Opcional: Seleccione el archivo de CA intermedia de firma o introduzca sus datos.
  7. Para rotar el certificado inmediatamente, pulse Rotar.
  8. Opcional: Compruebe el historial de versiones para ver las últimas actualizaciones.
  9. Vuelva a desplegar la última versión del certificado en el punto de terminación TLS.

Para acceder a la versión actual, puede descargar el certificado o recuperarlo mediante programación utilizando la API Get a secret.

Creación de nuevas versiones de certificados privados

Si la instancia de servicio de Secrets Manager está habilitada para certificados privados, puede renovar manualmente un certificado emitido anteriormente por una entidad emisora de certificados configurada para la instancia de servicio.

  1. En la consola, pulse el icono Menú Icono de menú > Lista de recursos.

  2. En la lista de servicios, seleccione la instancia de Secrets Manager.

  3. En la interfaz de usuario de Secrets Manager, vaya a la lista Secretos.

  4. En la fila correspondiente al certificado que desea rotar, pulse el menú Acciones Icono Acciones > Rotar.

  5. Opcional: añada metadatos a su secreto o a una versión específica de su secreto.

    1. Cargue un archivo o especifique los metadatos y los metadatos de versión en formato JSON.

  6. Pulse Rotar.

  7. Vuelva a desplegar la última versión del certificado en el punto de terminación TLS.

    Para acceder a la versión actual, puede descargar el certificado o recuperarlo mediante programación utilizando la API Obtener un secreto.

Creación de nuevas versiones de certificados públicos

Si la instancia de servicio de Secrets Manager está habilitada para certificados públicos, puede renovar manualmente un certificado que se haya solicitado previamente a una entidad emisora de certificados de terceros.

  1. En la consola, pulse el icono Menú Icono de menú > Lista de recursos.

  2. En la lista de servicios, seleccione la instancia de Secrets Manager.

  3. En la interfaz de usuario de Secrets Manager, vaya a la lista Secretos.

  4. En la fila correspondiente al certificado que desea rotar, pulse el menú Acciones Icono Acciones > Rotar.

  5. Opcional: añada metadatos a su secreto o a una versión específica de su secreto.

    1. Cargue un archivo o especifique los metadatos y los metadatos de versión en formato JSON.

  6. Pulse Rotar.

    Se muestra un mensaje para indicar que se está procesando la solicitud. Si la validación se completa correctamente, se emite un nuevo certificado y el estado del certificado cambia de Activo, pendiente de rotación de nuevo a Activo. Si la validación no se completa correctamente, el estado del certificado cambia a Activo, Rotación fallida.

  7. Opcional: Comprobar los detalles de emisión de un certificado.

    Puede comprobar los detalles de emisión de un certificado público pulsando el icono Acciones Icono Acciones > Detalles. Si ha habido algún problema con la solicitud, el campo Estado proporciona información sobre el motivo por el que la rotación no se ha completado satisfactoriamente.

  8. Vuelva a desplegar la última versión del certificado en el punto de terminación TLS.

    Para acceder a la versión actual, puede descargar el certificado o recuperarlo mediante programación utilizando la API Obtener un secreto.

Creación de nuevas versiones de certificados públicos con su propio proveedor de DNS en la interfaz de usuario

Para rotar un certificado público que se ha creado utilizando un proveedor de DNS manual en la interfaz de usuario, realice los pasos siguientes.

  1. En la consola, pulse el icono Menú Icono de menú > Lista de recursos.

  2. En la lista de servicios, seleccione la instancia de Secrets Manager.

  3. En la fila correspondiente al certificado que desea rotar, pulse el menú Acciones Icono Acciones > Rotar.

  4. Opcional: Añada un nombre y una descripción para identificar fácilmente su certificado.

  5. Opcional: Pulse Actualizar.

  6. Pulse Retos para acceder al nombre y valor de registro TXT que están asociados con cada uno de los dominios. Los necesita para completar los retos.

  7. Para validar la propiedad de los dominios, añada manualmente los registros TXT que se proporcionan para cada uno de los dominios a la cuenta de proveedor de DNS. Debe abordar sólo las preguntas de contraseña que no están validadas, antes de la fecha de caducidad.

    Si solicita un certificado para subdominios, por ejemplo, sub1.sub2.domain.com, debe añadir los registros TXT al dominio registrado domain.com.

  8. Verifique que los registros TXT que ha añadido a los dominios se han propagado. En función del proveedor de DNS, puede tardar algún tiempo en completarse.

  9. Después de confirmar que los registros se propagan, pulse Validar para solicitar Let's Encrypt para validar los retos de los dominios y crear un certificado público.

    Si el pedido falla, por ejemplo, si los registros TXT no se han propagado correctamente, debe iniciar un nuevo pedido para continuar.

  10. Cuando se emita el certificado, limpie y elimine los registros TXT de los dominios de la cuenta de proveedor de DNS.

Creación manual de nuevas versiones de secretos desde la CLI

Puede rotar manualmente los secretos y certificados utilizando el plug-in de CLI de Secrets Manager.

Rotación de secretos arbitrarios

Para rotar un secreto arbitrario utilizando el plug-in de CLI de Secrets Manager, ejecute el mandato ibmcloud secrets-manager secret-version-create. Por ejemplo, el siguiente comando rota un secreto y asigna new-secret-data como su nueva versión.

ibmcloud secrets-manager secret-version-create \    
   --secret-id=SECRET_ID \    
   --secret-version-prototype='{"payload": "updated secret credentials", "custom_metadata": {"anyKey": "anyValue"}, "version_custom_metadata": {"anyKey": "anyValue"}}'

El mandato genera el valor del secreto junto con otros metadatos. Para obtener más información sobre las opciones de mandato, consulte ibmcloud secrets-manager secret-version-create.

Rotación de secretos de credenciales de servicio

Para rotar un secreto de credenciales de servicio mediante el complemento CLI Secrets Manager, ejecute el comando ibmcloud secrets-manager secret-version-create comando. Por ejemplo, el siguiente comando rota un secreto y asigna new-secret-data como su nueva versión.

ibmcloud secrets-manager secret-version-create --secret-id SECRET_ID

El mandato genera el valor del secreto junto con otros metadatos. Para obtener más información sobre las opciones de mandato, consulte ibmcloud secrets-manager secret-version-create.

Secretos rotativos de credenciales personalizadas

Para girar un secreto de credenciales personalizado mediante el complemento CLI de Secrets Manager, ejecute el comando ibmcloud secrets-manager secret-version-create comando. Por ejemplo, el siguiente comando rota un secreto y asigna new-secret-data como su nueva versión.

ibmcloud secrets-manager secret-version-create --secret-id SECRET_ID

El mandato genera el valor del secreto junto con otros metadatos. Para obtener más información sobre las opciones de mandato, consulte ibmcloud secrets-manager secret-version-create.

Rotación de credenciales de usuario

Para rotar un secreto de credenciales de usuario utilizando el plug-in de CLI de Secrets Manager, ejecute el mandato ibmcloud secrets-manager secret-version-create. Por ejemplo, el siguiente comando rota un secreto y asigna new-password como su nueva versión.

ibmcloud secrets-manager secret-version-create \    
   --secret-id SECRET_ID \    
   --secret-version-prototype='{"password": "new-password", "custom_metadata": {"anyKey": "anyValue"}, "version_custom_metadata": {"anyKey": "anyValue"}}'

Para que el servicio genere y asigne una contraseña aleatoria a la credencial, omita el campo password. Por ejemplo, {}. Secrets Manager sustituye el valor existente por una contraseña de 32 caracteres generada aleatoriamente que contiene letras mayúsculas, letras minúsculas, dígitos y símbolos.

El mandato genera el valor del secreto junto con otros metadatos. Para obtener más información sobre las opciones de mandato, consulte ibmcloud secrets-manager secret-version-create.

Credenciales de IAM rotativas

Para rotar un secreto de credencial de IAM utilizando el plugin de CLI Secrets Manager, ejecute el mandato ibmcloud secrets-manager secret-version-create. Por ejemplo, el mandato siguiente creará una nueva clave de API

ibmcloud secrets-manager secret-version-create \    
   --secret-id SECRET_ID

La rotación manual de las credenciales de IAM solo es posible si Reutilizar credenciales de IAM está activado.

El mandato genera el valor del secreto junto con otros metadatos. Para obtener más información sobre las opciones de mandato, consulte ibmcloud secrets-manager secret-version-create.

Rotación de certificados importados

Para rotar un certificado mediante el complemento CLI Secrets Manager, ejecute el comando ibmcloud secrets-manager secret-version-create comando. Por ejemplo, el siguiente comando rota un secreto y asigna new-secret-data como su nueva versión.

certificate=$(cat cert.pem)
intermediate=$(cat intermediate.pem)
private_key=$(cat private_key.pem)
ibmcloud secrets-manager secret-version-create --secret-id SECRET_ID --imported-cert-certificate ${certificate} --imported-cert-intermediate ${intermediate} --imported-cert-private-key ${private_key}

El mandato genera el valor del secreto junto con otros metadatos. Para obtener más información sobre las opciones de mandato, consulte ibmcloud secrets-manager secret-version-create.

Certificados importados rotativos con CSR gestionada

Para reimportar un certificado mediante el complemento CLI de Secrets Manager, ejecute el comando ibmcloud secrets-manager secret-version-create comando. Por ejemplo, el siguiente comando rota un secreto y asigna new-secret-data como su nueva versión.

Cuando el certificado secreto importado gestiona una CSR, el campo " private_key " no está permitido.

certificate=$(cat cert.pem)
intermediate=$(cat intermediate.pem)
ibmcloud secrets-manager secret-version-create --secret-id SECRET_ID --imported-cert-certificate ${certificate} --imported-cert-intermediate ${intermediate}

El mandato genera el valor del secreto junto con otros metadatos. Para obtener más información sobre las opciones de mandato, consulte ibmcloud secrets-manager secret-version-create.

Rotación de certificados privados

Para crear un nuevo secreto de certificado privado utilizando el complemento CLI de Secrets Manager, ejecute el ibmcloud secrets-manager secret-version-create comando.

ibmcloud secrets-manager secret-version-create \
   --secret-id SECRET_ID
   --secret-version-prototype '{"csr":"..."}' # Keep empty JSON if not needed

El mandato genera el valor del secreto junto con otros metadatos. Para obtener más información sobre las opciones de mandato, consulte ibmcloud secrets-manager secret-version-create.

Rotación de certificados públicos

Para solicitar un nuevo secreto de certificado público utilizando el plugin de CLI Secrets Manager, ejecute el mandato ibmcloud secrets-manager secret-version-create.

ibmcloud secrets-manager secret-version-create \
   --secret-id SECRET_ID \
   --public-cert-rotation '{"rotate_keys": true|false}'

Al rotar un certificado, elija si desea rotar también su clave privada para asignar true o false para el campo rotate_keys.

El mandato genera el valor del secreto junto con otros metadatos. Para obtener más información sobre las opciones de mandato, consulte ibmcloud secrets-manager secret-version-create.

Rotación de secretos de KV

Para rotar un secreto KV utilizando el plugin de CLI Secrets Manager, ejecute el mandato ibmcloud secrets-manager secret-version-create. Por ejemplo, el siguiente comando rota un secreto y asigna new-secret-data como su nueva versión.

ibmcloud secrets-manager secret-version-create \    
   --secret-id=SECRET_ID \    
   --secret-version-prototype='{"data": {"key":"value"}, "custom_metadata": {"anyKey": "anyValue"}, "version_custom_metadata": {"anyKey": "anyValue"}}'

El mandato genera el valor del secreto junto con otros metadatos. Para obtener más información sobre las opciones de mandato, consulte ibmcloud secrets-manager secret-version-create.

Rotación manual de secretos con la API

Puede rotar manualmente los secretos y certificados utilizando la API de Secrets Manager.

Rotación de secretos arbitrarios

Puede rotar secretos arbitrarios llamando a la API de Secrets Manager.

La siguiente solicitud de ejemplo crea una nueva versión de su secreto. Cuando llame a la API, sustituya las variables de ID y la señal de IAM por los valores que son específicos de la instancia de Secrets Manager.

Puede almacenar metadatos que sean relevantes para las necesidades de su organización con los parámetros de solicitud custom_metadata y version_custom_metadata. Los valores de version_custom_metadata sólo se devuelven para las versiones de un secreto. Los metadatos personalizados del secreto se almacenan como todos los demás metadatos, para un máximo de 50 versiones, y no debe incluir datos confidenciales.

curl -X POST \
   -H "Authorization: Bearer {iam_token}" \
   -H "Accept: application/json" \
   -H "Content-Type: application/json" \
   -d '{
         "custom_metadata": {
            "metadata_custom_key": "metadata_custom_value"
            },
         "payload": "Updated arbitrary data",
         "version_custom_metadata": {
            "custom_version_key": "custom_version_value"
            }
         }' \
      "https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/versions"

Una respuesta correcta devuelve el valor de ID del secreto, junto con otros metadatos. Para obtener más información sobre los parámetros de solicitud obligatorios y opcionales, consulte los Documentos de la API.

Rotación de secretos clave-valor

Puede rotar secretos clave-valor llamando a la API de Secrets Manager.

La siguiente solicitud de ejemplo crea una nueva versión de su secreto. Cuando llame a la API, sustituya las variables de ID y la señal de IAM por los valores que son específicos de la instancia de Secrets Manager.

Puede almacenar metadatos que sean relevantes para las necesidades de su organización con los parámetros de solicitud custom_metadata y version_custom_metadata. Los valores de version_custom_metadata sólo se devuelven para las versiones de un secreto. Los metadatos personalizados del secreto se almacenan como todos los demás metadatos, para un máximo de 50 versiones, y no debe incluir datos confidenciales.

curl -X POST \
   -H "Authorization: Bearer ${iam_token}" \
   -H "Accept: application/json" \
   -H "Content-Type: application/json" \
   -d '{
      "custom_metadata": {
         "metadata_custom_key": "metadata_custom_value"
         },
      "data": {
            "key1": "val2"
         },
      "version_custom_metadata": {
         "custom_version_key": "custom_version_value"
         }
      }' \
   "https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/versions"

Una respuesta correcta devuelve el valor de ID del secreto, junto con otros metadatos. Para obtener más información sobre los parámetros de solicitud obligatorios y opcionales, consulte los Documentos de la API.

Rotación de credenciales de usuario

Puede rotar secretos llamando a la API de Secrets Manager.

La siguiente solicitud de ejemplo crea una nueva versión de su secreto. Cuando llame a la API, sustituya las variables de ID y la señal de IAM por los valores que son específicos de la instancia de Secrets Manager.

Puede almacenar metadatos que sean relevantes para las necesidades de su organización con los parámetros de solicitud custom_metadata y version_custom_metadata. Los valores de version_custom_metadata sólo se devuelven para las versiones de un secreto. Los metadatos personalizados del secreto se almacenan como todos los demás metadatos, para un máximo de 50 versiones, y no debe incluir datos confidenciales.

curl -X POST \
   -H "Authorization: Bearer {iam_token}" \
   -H "Accept: application/json" \
   -H "Content-Type: application/json" \
   -d '{
      "custom_metadata": {
         "metadata_custom_key": "metadata_custom_value"
         },
      "password": "new-password",
      "version_custom_metadata": {
         "custom_version_key": "custom_version_value"
         }
      }' \
   "https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/versions"

Para que el servicio genere y asigne una contraseña aleatoria a la credencial, omita el campo password. Por ejemplo, {}. Secrets Manager sustituye el valor existente por una contraseña de 32 caracteres generada aleatoriamente que contiene letras mayúsculas, letras minúsculas, dígitos y símbolos.

Una respuesta correcta devuelve el valor de ID del secreto, junto con otros metadatos. Para obtener más información sobre los parámetros de solicitud obligatorios y opcionales, consulte los Documentos de la API.

Credenciales de IAM rotativas

Puede rotar secretos llamando a la API de Secrets Manager.

La siguiente solicitud de ejemplo crea una nueva versión de su secreto. Cuando llame a la API, sustituya las variables de ID y la señal de IAM por los valores que son específicos de la instancia de Secrets Manager.

Puede almacenar metadatos que sean relevantes para las necesidades de su organización con los parámetros de solicitud custom_metadata y version_custom_metadata. Los valores de version_custom_metadata sólo se devuelven para las versiones de un secreto. Los metadatos personalizados del secreto se almacenan como todos los demás metadatos, para un máximo de 50 versiones, y no debe incluir datos confidenciales.

curl -X POST \
   -H "Authorization: Bearer {iam_token}" \
   -H "Accept: application/json" \
   -H "Content-Type: application/json" \
   -d '{
      "custom_metadata": {
         "metadata_custom_key": "metadata_custom_value"
         },
      "version_custom_metadata": {
         "custom_version_key": "custom_version_value"
         }
      }' \
   "https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/versions"

Una respuesta correcta devuelve el valor de ID del secreto, junto con otros metadatos. Para obtener más información sobre los parámetros de solicitud obligatorios y opcionales, consulte los Documentos de la API.

Credenciales de servicio rotativo

Puede rotar secretos llamando a la API de Secrets Manager.

La siguiente solicitud de ejemplo crea una nueva versión de su secreto. Cuando llame a la API, sustituya las variables de ID y la señal de IAM por los valores que son específicos de la instancia de Secrets Manager.

Puede almacenar metadatos que sean relevantes para las necesidades de su organización con los parámetros de solicitud custom_metadata y version_custom_metadata. Los valores de version_custom_metadata sólo se devuelven para las versiones de un secreto. Los metadatos personalizados del secreto se almacenan como todos los demás metadatos, para un máximo de 50 versiones, y no debe incluir datos confidenciales.

curl -X POST \
   -H "Authorization: Bearer {iam_token}" \
   -H "Accept: application/json" \
   -H "Content-Type: application/json" \
   -d '{
      "custom_metadata": {
         "metadata_custom_key": "metadata_custom_value"
         },
      "version_custom_metadata": {
         "custom_version_key": "custom_version_value"
         }
      }' \
   "https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/versions"

Una respuesta correcta devuelve el valor de ID del secreto, junto con otros metadatos. Para obtener más información sobre los parámetros de solicitud obligatorios y opcionales, consulte los Documentos de la API.

Rotación de credenciales personalizadas

Puede rotar secretos llamando a la API de Secrets Manager.

La siguiente solicitud de ejemplo crea una nueva versión de su secreto. Cuando llame a la API, sustituya las variables de ID y la señal de IAM por los valores que son específicos de la instancia de Secrets Manager.

Puede almacenar metadatos que sean relevantes para las necesidades de su organización con los parámetros de solicitud custom_metadata y version_custom_metadata. Los valores de version_custom_metadata sólo se devuelven para las versiones de un secreto. Los metadatos personalizados del secreto se almacenan como todos los demás metadatos, para un máximo de 50 versiones, y no debe incluir datos confidenciales.

curl -X POST \
   -H "Authorization: Bearer {iam_token}" \
   -H "Accept: application/json" \
   -H "Content-Type: application/json" \
   -d '{
      "custom_metadata": {
         "metadata_custom_key": "metadata_custom_value"
         },
      "version_custom_metadata": {
         "custom_version_key": "custom_version_value"
         }
      }' \
   "https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/versions"

Una respuesta correcta devuelve el valor de ID del secreto, junto con otros metadatos. Para obtener más información sobre los parámetros de solicitud obligatorios y opcionales, consulte los Documentos de la API.

Rotación de certificados importados

Puede rotar secretos llamando a la API de Secrets Manager.

La siguiente solicitud de ejemplo crea una nueva versión de su secreto. Cuando llame a la API, sustituya las variables de ID y la señal de IAM por los valores que son específicos de la instancia de Secrets Manager.

Puede almacenar metadatos que sean relevantes para las necesidades de su organización con los parámetros de solicitud custom_metadata y version_custom_metadata. Los valores de version_custom_metadata sólo se devuelven para las versiones de un secreto. Los metadatos personalizados del secreto se almacenan como todos los demás metadatos, para un máximo de 50 versiones, y no debe incluir datos confidenciales.

curl -X POST \
   -H "Authorization: Bearer {iam_token}" \
   -H "Accept: application/json" \
   -H "Content-Type: application/json" \
   -d '{
         "certificate": "-----BEGIN CERTIFICATE-----\nMIIE3jCCBGSgAwIBAgIUZfTbf3adn87l5J2Q2Aw+6Vk/qhowCgYIKoZIzj0EAwIwx\n-----END CERTIFICATE-----", "custom_metadata": {
            "metadata_custom_key": "metadata_custom_value"
         },
         "intermediate": "-----BEGIN CERTIFICATE-----\nMIIE3DCCBGKgAwIBAgIUKncnp6BdSUKAFGBcP4YVp/gTb7gwCgYIKoZIzj0EAwIw\n-----END CERTIFICATE-----",
         "private_key": "-----BEGIN RSA PRIVATE KEY-----\nMIIEowIBAAKCAQEAqcRbzV1wp0nVrPtEpMtnWMO6Js1q3rhREZluKZfu0Q8SY4H3\n-----END RSA PRIVATE KEY-----", "version_custom_metadata": {
            "custom_version_key": "custom_version_value"
         }
      }' \
   "https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/versions"

Sustituya las líneas nuevas en los datos de certificado, clave intermedia y privada por \n.

Una respuesta correcta devuelve el valor de ID del secreto, junto con otros metadatos. Para obtener más información sobre los parámetros de solicitud obligatorios y opcionales, consulte los Documentos de la API.

Certificados importados rotativos con CSR gestionada

Puede rotar secretos llamando a la API de Secrets Manager.
La siguiente solicitud de ejemplo crea una nueva versión de su secreto. Cuando llame a la API, sustituya las variables de ID y la señal de IAM por los valores que son específicos de la instancia de Secrets Manager.

Cuando el certificado secreto importado gestiona una CSR, el campo " private_key " no está permitido.

curl -X POST \
   -H "Authorization: Bearer {iam_token}" \
   -H "Accept: application/json" \
   -H "Content-Type: application/json" \
   -d '{
         "certificate": "-----BEGIN CERTIFICATE-----\nMIIE3jCCBGSgAwIBAgIUZfTbf3adn87l5J2Q2Aw+6Vk/qhowCgYIKoZIzj0EAwIwx\n-----END CERTIFICATE-----",
         "intermediate": "-----BEGIN CERTIFICATE-----\nMIIE3DCCBGKgAwIBAgIUKncnp6BdSUKAFGBcP4YVp/gTb7gwCgYIKoZIzj0EAwIw\n-----END CERTIFICATE-----"
         }
      }' \
   "https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/versions"

Una respuesta correcta devuelve el valor de ID del secreto, junto con otros metadatos. Para obtener más información sobre los parámetros de solicitud obligatorios y opcionales, consulte los Documentos de la API.

Rotación de certificados públicos

Puede rotar secretos llamando a la API de Secrets Manager.

La siguiente solicitud de ejemplo crea una nueva versión de su secreto. Cuando llame a la API, sustituya las variables de ID y la señal de IAM por los valores que son específicos de la instancia de Secrets Manager.

Puede almacenar metadatos que sean relevantes para las necesidades de su organización con los parámetros de solicitud custom_metadata y version_custom_metadata. Los valores de version_custom_metadata sólo se devuelven para las versiones de un secreto. Los metadatos personalizados del secreto se almacenan como todos los demás metadatos, para un máximo de 50 versiones, y no debe incluir datos confidenciales.

curl -X POST \
   -H "Authorization: Bearer {iam_token}" \
   -H "Accept: application/json" \
   -H "Content-Type: application/json" \
   -d '{
        "rotation": {
          "rotate_keys": true # or false
        },
        "version_custom_metadata": {
            "custom_version_key": "custom_version_value"
        }
      }' \
   "https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/versions"

Sustituya las líneas nuevas en los datos de certificado, clave intermedia y privada por \n.

Una respuesta correcta devuelve el valor de ID del secreto, junto con otros metadatos. Para obtener más información sobre los parámetros de solicitud obligatorios y opcionales, consulte los Documentos de la API.

Rotación de certificados privados

Puede rotar secretos llamando a la API de Secrets Manager.

La siguiente solicitud de ejemplo crea una nueva versión de su secreto. Cuando llame a la API, sustituya las variables de ID y la señal de IAM por los valores que son específicos de la instancia de Secrets Manager.

Puede almacenar metadatos que sean relevantes para las necesidades de su organización con los parámetros de solicitud custom_metadata y version_custom_metadata. Los valores de version_custom_metadata sólo se devuelven para las versiones de un secreto. Los metadatos personalizados del secreto se almacenan como todos los demás metadatos, para un máximo de 50 versiones, y no debe incluir datos confidenciales.

curl -X POST \
   -H "Authorization: Bearer {iam_token}" \
   -H "Accept: application/json" \
   -H "Content-Type: application/json" \
   -d '{
        "csr": '{}' # Keep empty if not required
        "version_custom_metadata": {
            "custom_version_key": "custom_version_value"
        }
      }' \
   "https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/versions"

Sustituya las líneas nuevas en los datos de certificado, clave intermedia y privada por \n.

Una respuesta correcta devuelve el valor de ID del secreto, junto con otros metadatos. Para obtener más información sobre los parámetros de solicitud obligatorios y opcionales, consulte los Documentos de la API.

Rotación manual de secretos con Terraform

Puede rotar manualmente los secretos arbitrarios, los secretos de valor de clave o los certificados importados utilizando Terraform para Secrets Manager. Para rotar manualmente otros tipos de secretos, debe utilizar la interfaz de usuario, la API o la CLI.

Rotación de secretos arbitrarios

Puede rotar secretos arbitrarios utilizando Terraform para Secrets Manager.

Para rotar un secreto arbitrario, modifique el valor del atributo payload en la configuración de recursos de ibm_sm_arbitrary_secret y ejecute terraform apply para aplicar el cambio. Si está utilizando una variable de entrada para la carga útil, modifique su valor en el archivo variables.tf.

También puede modificar otros atributos del secreto arbitrario al mismo tiempo, incluidos los atributos de metadatos como description, custom_metadata o version_custom_metadata.

Rotación de secretos clave-valor

Para rotar un secreto de valor de clave utilizando Terraform para Secrets Manager, modifique el valor del atributo data en la configuración de recursos de ibm_sm_kv_secret y ejecute terraform apply para aplicar el cambio. Si está utilizando una variable de entrada para la carga útil, modifique su valor en el archivo variables.tf.

También puede modificar otros atributos del secreto de valor de clave al mismo tiempo, incluidos los atributos de metadatos como description, custom_metadata o version_custom_metadata.

Rotación de certificados importados

Puede rotar certificados importados utilizando Terraform para Secrets Manager.

Para rotar un certificado importado, modifique los valores de los atributos certificate, intermediate (opcional) y private_key (opcional) en la configuración de recursos de ibm_sm_imported_certificate y ejecute terraform apply para aplicar el cambio.

También puede modificar otros atributos del certificado importado al mismo tiempo, incluidos los atributos de metadatos como, por ejemplo, description, custom_metadata o version_custom_metadata.