Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Gestión de secretos y políticas de recursos
<a name="managing-secrets-resource-policies"></a>

Al [configurar un proveedor de voz externo](configure-third-party-speech-providers.md), tendrá que crear un secreto en Secrets Manager que contenga la clave de API del proveedor de voz. La creación del secreto es un proceso de dos pasos:
+ Crea el secreto que contiene la clave de API. Para obtener instrucciones, consulta [Crear un AWS Secrets Manager secreto](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html).
+ Configure los permisos necesarios:
  + Adjunte al secreto una política basada en recursos.
  + Adjunta una política basada en recursos a la clave de KMS (no a la clave de API) asociada al secreto. La clave KMS protege la clave de API del secreto.

  Estas políticas permiten a Amazon Connect acceder a la clave de API incluida en el secreto. Tenga en cuenta que no puede usar la clave `aws/secretsmanager` KMS predeterminada; tendrá que crear una clave nueva o usar una clave existente administrada por el cliente. Para obtener más información sobre cómo las claves de KMS protegen los secretos, consulte [Cifrado y descifrado secretos en Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html).

Asegúrese de que la política basada en recursos para el secreto incluya las condiciones secundarias `aws:SourceArn` confusas (consulte El `aws:SourceAccount` [problema del diputado confuso) y que la](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) política basada en recursos para la clave de KMS incluya la condición. `kms:EncryptionContext:SecretARN` Esto garantizará que Amazon Connect solo pueda acceder a su clave secreta de API en el contexto de una única instancia específica y solo pueda acceder a su clave de KMS en el contexto de esa instancia y del secreto específico.

## Ejemplo de una política basada en recursos para los secretos de Secrets Manager
<a name="example-resource-policy-secrets-manager"></a>

El siguiente es un ejemplo de una política basada en recursos que puede adjuntar a su secreto.

```
{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///"
        }
      }
    }
  ]
}
```

## Ejemplo de una política basada en recursos para s AWS KMS key
<a name="example-resource-policy-kms-keys"></a>

El siguiente es un ejemplo de una política basada en recursos que puede adjuntar a su clave de KMS.

```
{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///",
          "kms:EncryptionContext:SecretARN": "///the ARN of your secrets manager secret///"
        }
      }
    }
  ]
}
```

## Adjuntar una política basada en recursos a tu secreto de Secrets Manager
<a name="attaching-resource-policy-secrets-manager"></a>

[Para adjuntar una política basada en recursos a tu secreto, ve a la consola Secrets Manager de la Consola de administración de AWS, navega hasta tu secreto, selecciona **Editar permisos o Permisos** de **recursos y, a continuación, añade o modifica la política de recursos directamente en la página para que tenga** un aspecto similar al del ejemplo.](#example-resource-policy-secrets-manager) También puedes adjuntar la política de recursos mediante el `put-resource-policy` comando AWS CLI's o mediante programación mediante la operación de la API. [PutResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html)

## Adjuntar una política basada en recursos a la clave de KMS
<a name="attaching-resource-policy-kms-key"></a>

[Para adjuntar una política basada en recursos a su clave de KMS, vaya a la AWS Key Management Service consola que contiene Consola de administración de AWS, navegue hasta su clave de KMS y edite la política de claves para que tenga un aspecto similar al del ejemplo.](#example-resource-policy-kms-keys) También puedes actualizar la clave mediante el `put-key-policy` comando AWS CLI's o mediante programación mediante la operación de API. [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)

## Claves de API rotativas
<a name="rotating-api-keys"></a>

Recomendamos rotar las claves de API al menos cada 90 días para minimizar el riesgo de que se vean comprometidas y mantener un proceso de rotación de claves bien practicado en situaciones de emergencia.

Para rotar una clave de API, debes rotar el secreto en el que se encuentra. Consulte [Rotate Secrets Manager secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) en la *Guía del usuario de Secrets Manager* para obtener más información sobre cómo rotar secretos. Al rotar una clave de API, se recomienda esperar a que el uso de la clave anterior se reduzca a cero antes de revocar la clave de API anterior para garantizar que las solicitudes en curso no se vean afectadas.