Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Mengelola rahasia dan kebijakan sumber daya
<a name="managing-secrets-resource-policies"></a>

Saat [mengonfigurasi penyedia pidato pihak ketiga](configure-third-party-speech-providers.md), Anda harus membuat rahasia di Secrets Manager yang berisi kunci API penyedia ucapan. Membuat rahasia adalah proses dua langkah:
+ Buat rahasia yang berisi kunci API. Untuk petunjuk, lihat [Membuat AWS Secrets Manager rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html).
+ Konfigurasikan izin yang diperlukan:
  + Lampirkan kebijakan berbasis sumber daya ke rahasia.
  + Lampirkan kebijakan berbasis sumber daya ke kunci KMS (bukan kunci API) yang terkait dengan rahasia. Kunci KMS melindungi kunci API dalam rahasia.

  Kebijakan ini memungkinkan Amazon Connect mengakses kunci API dalam rahasia. Perhatikan bahwa Anda tidak dapat menggunakan kunci `aws/secretsmanager` KMS default; Anda harus membuat kunci baru atau menggunakan kunci yang dikelola pelanggan yang ada. Untuk informasi selengkapnya tentang cara kunci KMS mengamankan rahasia, lihat [Enkripsi dan dekripsi rahasia di Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html).

Pastikan bahwa kebijakan berbasis sumber daya untuk rahasia mencakup `aws:SourceAccount` dan kondisi wakil yang membingungkan (lihat [Masalah wakil](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) yang `aws:SourceArn` bingung) dan bahwa kebijakan berbasis sumber daya untuk kunci KMS mencakup kondisi tersebut. `kms:EncryptionContext:SecretARN` Ini akan memastikan bahwa Amazon Connect hanya dapat mengakses rahasia kunci API Anda dalam konteks satu instance tertentu, dan hanya dapat mengakses kunci KMS Anda dalam konteks instance itu dan rahasia spesifik.

## Contoh kebijakan berbasis sumber daya untuk rahasia Secrets Manager
<a name="example-resource-policy-secrets-manager"></a>

Berikut ini adalah contoh kebijakan berbasis sumber daya yang dapat Anda lampirkan ke rahasia Anda.

```
{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///"
        }
      }
    }
  ]
}
```

## Contoh kebijakan berbasis sumber daya untuk s AWS KMS key
<a name="example-resource-policy-kms-keys"></a>

Berikut ini adalah contoh kebijakan berbasis sumber daya yang dapat Anda lampirkan ke kunci KMS Anda.

```
{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///",
          "kms:EncryptionContext:SecretARN": "///the ARN of your secrets manager secret///"
        }
      }
    }
  ]
}
```

## Melampirkan kebijakan berbasis sumber daya ke rahasia Secrets Manager Anda
<a name="attaching-resource-policy-secrets-manager"></a>

[Untuk melampirkan kebijakan berbasis sumber daya ke rahasia Anda, buka konsol Secrets Manager di dalamnya Konsol Manajemen AWS, navigasikan ke rahasia Anda, pilih **Edit Izin atau Izin****Sumber Daya**, lalu tambahkan atau ubah kebijakan sumber daya langsung di halaman sehingga terlihat mirip dengan contoh.](#example-resource-policy-secrets-manager) Anda juga dapat melampirkan kebijakan sumber daya melalui `put-resource-policy` perintah, atau secara terprogram menggunakan operasi [PutResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html)API. AWS CLI

## Melampirkan kebijakan berbasis sumber daya ke kunci KMS Anda
<a name="attaching-resource-policy-kms-key"></a>

[Untuk melampirkan kebijakan berbasis sumber daya ke kunci KMS Anda, buka AWS Key Management Service konsol di dalam Konsol Manajemen AWS, navigasikan ke kunci KMS Anda dan edit kebijakan kunci Anda agar terlihat seperti contoh.](#example-resource-policy-kms-keys) Anda juga dapat memperbarui kunci melalui `put-key-policy` perintah AWS CLI, atau secara terprogram menggunakan operasi [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)API.

## Memutar kunci API
<a name="rotating-api-keys"></a>

Kami merekomendasikan untuk memutar kunci API setidaknya setiap 90 hari untuk meminimalkan risiko kompromi, dan untuk mempertahankan proses rotasi kunci yang terlatih dengan baik untuk situasi darurat.

Untuk memutar kunci API, Anda harus memutar rahasia di mana kunci itu terkandung. Lihat [Memutar rahasia Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) di *Panduan Pengguna Secrets Manager* untuk informasi selengkapnya tentang cara memutar rahasia. Saat Anda memutar kunci API, Anda disarankan untuk menunggu penggunaan kunci sebelumnya turun ke nol sebelum mencabut kunci API lama untuk memastikan bahwa permintaan yang sedang berlangsung tidak terpengaruh.