Girando segredos automaticamente

É possível planejar a rotação automática de segredos usando o IBM Cloud® Secrets Manager.

Quando você gira um segredo em sua instância de serviço, você cria uma nova versão de seu valor. Ao planejar a rotação automática de seus segredos em intervalos regulares, é possível reduzir a probabilidade de compromisso e assegurar que suas credenciais nunca expirem.

A rotação automática está disponível apenas para os segredos que são gerados pelo Secrets Manager. Se o segredo foi importado inicialmente, deve-se fornecer novos dados de segredo para girá-lo. Para obter mais informações, consulte Girando segredos manualmente.

Antes de Iniciar

Antes de começar, certifique-se de ter o nível de acesso necessário. Para girar segredos, é necessária a função de serviço Gravador ou superior.

Tipos de segredos suportados

A rotação automática é suportada para certificados privados, certificados públicos, credenciais do usuário e credenciais do IAM. Dependendo do tipo de segredo, a rotação automática ocorre imediatamente na data e hora definidas por você, ou pode ser necessário concluir algumas etapas adicionais antes que uma nova versão do segredo possa ser criada.

Descreve como o site Secrets Manager avalia a rotação manual por tipo de segredo
Tipo	Descrição da rotação
Certificados privados	O valor `certificate` existente é substituído por novo conteúdo de certificado. O tempo de vida (TTL) do certificado renovado é configurado de acordo com o modelo de certificado que foi selecionado quando o certificado foi criado pela primeira vez. Observe que, depois que o tempo de vida (TTL) ou o período de validade de um certificado privado exceder o período de validade de sua autoridade de certificação emissora, o certificado não poderá mais ser rotacionado automaticamente.
Certificados públicos	Os certificados públicos mudam para o status Ativo, Rotação pendente para indicar que a solicitação para renovação do certificado está sendo processada. O Secrets Manager usa validação de DNS para verificar se você possui os domínios que estão listados como parte do certificado. Esse processo pode levar alguns minutos para ser concluído. Se a validação for concluída com sucesso, um novo certificado será emitido e seu status mudará de volta para Ativo. Se a validação não for concluída com sucesso, o status do certificado mudará para Ativo, Rotação com falha.
Credenciais do usuário	O valor `password` é substituído por uma senha de 32 caracteres gerada aleatoriamente que contém letras maiúsculas e minúsculas, dígitos e símbolos. O valor `username` não muda.
Credenciais do IAM	O valor da chave API do ID de Serviço é substituído por uma nova chave API. A chave API anterior permanece disponível para o tempo restante no TTL definido.
Credenciais de serviço	O segredo das credenciais de serviço é substituído por um novo. O segredo anterior permanece disponível pelo tempo restante no TTL definido.
Credenciais customizadas	O segredo da credencial personalizada é substituído por um novo. O segredo anterior permanece disponível pelo tempo restante no TTL definido.

Observe que, no caso de credenciais de serviço criadas para Bancos de dados, se, além da credencial, você também estiver alterando as permissões do banco de dados para a credencial criada, elas não serão sincronizadas quando a credencial de serviço for girada. Ao girar uma credencial de serviço de Bancos de Dados, isso é considerado uma rotação de identidade

Planejando a rotação automática na IU

É possível planejar a rotação automática de segredos usando a IU do Secrets Manager.

Configurando uma política de rotação automática para credenciais do usuário

Se você preferir agendar suas senhas para ser rotacionado automaticamente em intervalos regulares, você pode ativar a rotação automática para suas credenciais do usuário em sua criação. Você também pode ativar a rotação automática, editando os detalhes de um segredo existente.

Se você precisar de um controle maior sobre a frequência de rotação de um segredo, é possível usar a API do Secrets Manager para configurar um intervalo customizado usando as unidades de tempo day ou month. Para obter mais informações, consulte a Referência de API.

Se você estiver incluindo um segredo, ative a opção de rotação.
Se você estiver editando um segredo existente, ative a rotação automática atualizando seus detalhes.
1. Na tabela Segredos, visualize uma lista de seus segredos existentes.
2. Na linha do segredo que você deseja editar, clique no menu Ações > Editar detalhes.
3. Use a opção Rotação automática para ativar ou desativar a rotação automática para o segredo.

Ao atualizar as configurações de rotação de um segredo, você aciona uma rotação imediata.

Configurando uma política de rotação automática para certificados públicos

Se você preferir agendar seus certificados de SSL/TLS público para ser renovado automaticamente, você pode ativar a rotação automática para certificados quando os ordenar. Você também pode ativar a rotação automática, editando os detalhes de um certificado existente. No próximo ciclo de rotação do certificado, o site Secrets Manager começa a tentar reordenar o certificado 31 dias antes de sua data de expiração. O serviço continua a tentar renovar o certificado diariamente até que seja bem sucedido.

Se você estiver solicitando um certificado público, ative as opções de rotação.
1. Para girar o certificado automaticamente, alterne a rotação para Ativado. Seu certificado será solicitado novamente automaticamente 31 dias antes de sua data de expiração.
2. Para solicitar uma nova chave privada para o certificado em cada rotação, alterne o botão de rechave para Ativado.
Se você estiver editando um certificado público existente, ative a rotação automática atualizando seus detalhes.
1. Na tabela Segredos, visualize uma lista de seus certificados públicos existentes.
2. Na linha para o certificado que você deseja editar, clique no menu Ações > Editar detalhes.
3. Use a opção Rotação automática para incluir ou remover uma política de rotação para o segredo.

Configurando uma política de rotação automática para certificados privados

Se você preferir programar a renovação automática de seus certificados SSL ou TLS privados, poderá ativar a rotação automática para os certificados ao solicitá-los ou ao editar os detalhes de um certificado existente. O certificado deve

Se você estiver criando certificados privados, ative as opções de rotação.
1. Para girar o certificado automaticamente, alterne a rotação para Ativado.
2. Selecione um intervalo e uma unidade que especifica o número de dias entre as rotações programadas.
  
  Dependendo do modelo de certificado que está associado ao seu certificado privado, algumas restrições no intervalo de rotação para o certificado podem se aplicar. Por exemplo, o intervalo de rotação não pode exceder o tempo de vida (TTL) definido no modelo. Para obter mais informações, consulte Modelos de certificado.
Se você estiver editando um certificado privado existente, programe a rotação automática atualizando seus detalhes.
1. Na tabela Segredos, visualize uma lista de seus certificados privados existentes.
2. Na linha para o certificado que você deseja editar, clique no menu Ações > Editar detalhes.
3. Use a opção Rotação automática para incluir ou remover uma política de rotação para o segredo.

Definição de uma política de rotação automática para credenciais do IAM

Se você preferir agendar sua chave API para ser rotacionado automaticamente em intervalos regulares, você pode ativar a rotação automática para suas credenciais do IAM em sua criação. Você também pode ativar a rotação automática, editando os detalhes de um segredo existente. Escolha entre um intervalo de rotação de 30, 60 ou 90 dias.

Se você estiver incluindo um segredo, ative a opção de rotação selecionando um intervalo de rotação de 30, 60 ou 90 dias.
Se você estiver editando um segredo existente, ative a rotação automática atualizando seus detalhes.
1. Na tabela Segredos, visualize uma lista de seus segredos existentes.
2. Na linha do segredo que você deseja editar, clique no menu Ações > Editar detalhes.
3. Use a opção Rotação automática para ativar ou desativar a rotação automática para o segredo.

A rotação está disponível apenas para credenciais do IAM onde a chave de reutilização é definida como true. O intervalo de rotação definido não pode ser maior do que o tempo definido-para-viver (TTL). Você pode configurar o TTL para segredos usando minute unidades de tempo mas a rotação não está disponível para esses segredos.

Definição de uma política de rotação automática para credenciais de serviço

Se preferir programar a rotação automática do segredo das credenciais de serviço em intervalos regulares, você poderá ativar a rotação automática das credenciais de serviço na criação delas. Você também pode ativar a rotação automática, editando os detalhes de um segredo existente. Escolha entre um intervalo de rotação de 30, 60 ou 90 dias.

Se você estiver incluindo um segredo, ative a opção de rotação selecionando um intervalo de rotação de 30, 60 ou 90 dias.
Se você estiver editando um segredo existente, ative a rotação automática atualizando seus detalhes.
1. Na tabela Segredos, visualize uma lista de seus segredos existentes.
2. Na linha do segredo que você deseja editar, clique no menu Ações > Editar detalhes.
3. Use a opção Rotação automática para ativar ou desativar a rotação automática para o segredo.

Definição de uma política de rotação automática para credenciais personalizadas

Se preferir programar o segredo custom_credentials para ser rotacionado automaticamente em intervalos regulares, você pode ativar a rotação automática para o segredo custom_credentials na sua criação. Você também pode ativar a rotação automática, editando os detalhes de um segredo existente. Escolha entre um intervalo de rotação de 30, 60 ou 90 dias.

Se você estiver incluindo um segredo, ative a opção de rotação selecionando um intervalo de rotação de 30, 60 ou 90 dias.
Se você estiver editando um segredo existente, ative a rotação automática atualizando seus detalhes.
1. Na tabela Segredos, visualize uma lista de seus segredos existentes.
2. Na linha do segredo que você deseja editar, clique no menu Ações > Editar detalhes.
3. Use a opção Rotação automática para ativar ou desativar a rotação automática para o segredo.

Planejando rodízio automático a partir da CLI

Você pode programar a rotação automática de segredos usando o plug-in Secrets Manager CLI.

Configurando uma política de rotação automática para credenciais do usuário

Planeje a rotação automática para credenciais do usuário usando ibmcloud secrets-manager secret-metadata-update.

ibmcloud secrets-manager secret-metadata-update \
    --id=SECRET_ID \
    --rotation='{"auto_rotate": true,"interval": 30,"unit": "day"}'

Para remover uma política, mantenha o bloco de recursos vazio.

Configurando uma política de rotação automática para certificados públicos

Planeje a rotação automática para certificados públicos usando ibmcloud secrets-manager secret-metadata-update.

ibmcloud secrets-manager secret-metadata-update \
    --id=SECRET_ID \
    --rotation='{"auto_rotate": true, "rotate_keys": true}'

Configurando uma política de rotação automática para certificados privados

Planeje a rotação automática para certificados privados usando ibmcloud secrets-manager secret-metadata-update.

ibmcloud secrets-manager secret-metadata-update \
    --id=SECRET_ID \
    --rotation='{"auto_rotate": true,"interval": 30,"unit": "day"}'

Definição de uma política de rotação automática para credenciais do IAM

Planeje a rotação automática para credenciais do IAM usando o ibmcloud secrets-manager secret-metadata-update.

ibmcloud secrets-manager secret-metadata-update \
    --id=SECRET_ID \
    --rotation='{"auto_rotate": true,"interval": 30,"unit": "day"}'

Para remover uma política, mantenha o bloco de recursos vazio.

Definição de uma política de rotação automática para credenciais de serviço

Planeje a rotação automática para credenciais de serviço usando ibmcloud secrets-manager secret-metadata-update.

ibmcloud secrets-manager secret-metadata-update \
    --id=SECRET_ID \
    --rotation='{"auto_rotate": true,"interval": 30,"unit": "day"}'

Para remover uma política, mantenha o bloco de recursos vazio.

Definição de uma política de rotação automática para credenciais personalizadas

Programe a rotação automática para credenciais personalizadas usando a opção ibmcloud secrets-manager secret-metadata-update.

ibmcloud secrets-manager secret-metadata-update \
    --id=SECRET_ID \
    --rotation='{"auto_rotate": true,"interval": 30,"unit": "day"}'

Para remover uma política, mantenha o bloco de recursos vazio.

Planejando a rotação automática com a API

É possível planejar a rotação automática de segredos usando a API do Secrets Manager.

Configurando uma política de rotação automática para credenciais do usuário

A solicitação de exemplo a seguir cria uma política de rotação automática para um segredo de credenciais do usuário (username_password). Ao chamar a API, substitua as variáveis de ID e o token IAM pelos valores que são específicos para a sua instância do Secrets Manager.

curl -X PATCH
   -H "Authorization: Bearer {iam_token}" \
   -H "Accept: application/json" \
   -H 'Content-Type: application/merge-patch+json' \
   -d '{
            "rotation": {
               "auto_rotate": true,
               "interval": 1,
               "unit": "month"
            }
         }' \
      "https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/metadata"

Uma resposta bem-sucedida retorna o valor do ID do segredo, além de outros metadados. Para obter mais informações sobre os parâmetros de solicitação opcionais e necessários, consulte a Referência de API.

Para remover uma política, mantenha o bloco de recursos vazio.

Configurando uma política de rotação automática para certificados públicos

Se preferir programar a renovação automática de seus certificados, é possível habilitar a rotação automática de certificados ao solicitá-los ou ao editar os detalhes de um certificado existente. No próximo ciclo de rotação do certificado, o Secrets Manager solicita novamente o certificado 31 dias antes de sua data de validade.

Solicitando um certificado público que se renova automaticamente

A solicitação de exemplo a seguir solicita um certificado com rotação automática ativada. Ao chamar a API, configure a propriedade auto_rotate para true. Opcionalmente, é possível configurar o rotate_keys como true para solicitar uma nova chave privada para o certificado em cada rotação.

curl -X POST
   -H "Authorization: Bearer {iam_token}" \
   -H "Accept: application/json" \
   -H "Content-Type: application/json" \
   -d '{
         "custom_metadata": {
            "metadata_custom_key": "metadata_custom_value"
         },
         "rotation": {
            "auto_rotate": true,
            "rotate_keys": true
         },
         "version_custom_metadata": {
            "custom_version_key": "custom_version_value"
         }
      }' \
   "https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets"

Uma resposta bem-sucedida retorna o valor de ID para o certificado, juntamente com outros metadados. Para obter mais informações sobre os parâmetros de solicitação opcionais e necessários, confira a Referência de API.

Definição de uma política de rotação automática para credenciais do IAM

A solicitação de exemplo a seguir cria uma política de rotação automática para um segredo de credenciais do IAM (iam_credentials). Ao chamar a API, substitua as variáveis de ID e o token IAM pelos valores que são específicos para a sua instância do Secrets Manager.

curl -X PATCH
   -H "Authorization: Bearer {iam_token}" \
   -H "Accept: application/json" \
   -H 'Content-Type: application/merge-patch+json' \
   -d '{
          "rotation": {
            "auto_rotate": true,
            "interval": 30,
            "unit": "day"
          }
         }' \
      "https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/metadata"

Para remover uma política, mantenha o bloco de recursos vazio.

O intervalo de rotação definido não pode ser maior do que o tempo definido-para-viver. A rotação está disponível apenas para credenciais do IAM onde a tecla Re-use é definida como true. Você pode configurar o TTL para segredos usando minute unidades de tempo mas a rotação não está disponível para esses segredos.

Definição de uma política de rotação automática para credenciais de serviço

A solicitação de exemplo a seguir cria uma política de rotação automática para uma credencial de serviço (service_credentials) secreta. Ao chamar a API, substitua as variáveis de ID e o token IAM pelos valores que são específicos para a sua instância do Secrets Manager.

curl -X PATCH
   -H "Authorization: Bearer {iam_token}" \
   -H "Accept: application/json" \
   -H 'Content-Type: application/merge-patch+json' \
   -d '{
          "rotation": {
            "auto_rotate": true,
            "interval": 30,
            "unit": "day"
          }
         }' \
      "https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/metadata"

Para remover uma política, mantenha o bloco de recursos vazio.

O intervalo de rotação definido não pode ser maior do que o tempo definido-para-viver.

Definição de uma política de rotação automática para credenciais personalizadas

A solicitação de exemplo a seguir cria uma política de rotação automática para um segredo custom_credentials. Ao chamar a API, substitua as variáveis de ID e o token IAM pelos valores que são específicos para a sua instância do Secrets Manager.

curl -X PATCH
   -H "Authorization: Bearer {iam_token}" \
   -H "Accept: application/json" \
   -H 'Content-Type: application/merge-patch+json' \
   -d '{
          "rotation": {
            "auto_rotate": true,
            "interval": 30,
            "unit": "day"
          }
         }' \
      "https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/metadata"

Para remover uma política, mantenha o bloco de recursos vazio.

O intervalo de rotação definido não pode ser maior do que o tempo definido-para-viver.