As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Gerenciando segredos e políticas de recursos
<a name="managing-secrets-resource-policies"></a>

Ao [configurar um provedor de voz terceirizado](configure-third-party-speech-providers.md), você precisará criar um segredo no Secrets Manager que contenha a chave de API do provedor de fala. Criar o segredo é um processo de duas etapas:
+ Crie o segredo contendo a chave da API. Para obter instruções, consulte [Criar um AWS Secrets Manager segredo](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html).
+ Configure as permissões necessárias:
  + Vincule uma política baseada em recursos ao segredo.
  + Anexe uma política baseada em recursos à chave KMS (não à chave de API) associada ao segredo. A chave KMS protege a chave da API em segredo.

  Essas políticas permitem que o Amazon Connect acesse a chave de API dentro do segredo. Observe que você não pode usar a chave `aws/secretsmanager` KMS padrão; você precisará criar uma nova chave ou usar uma chave existente gerenciada pelo cliente. Para obter mais informações sobre como as chaves KMS protegem segredos, consulte [Criptografia e descriptografia secretas no Secrets](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) Manager.

Certifique-se de que a política baseada em recursos para o segredo inclua as condições `aws:SourceArn` confusas do `aws:SourceAccount` representante (consulte [O problema do delegado confuso](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)) e que a política baseada em recursos da chave KMS inclua a condição. `kms:EncryptionContext:SecretARN` Isso garantirá que o Amazon Connect só possa acessar o segredo da sua chave de API no contexto de uma única instância específica e só possa acessar sua chave do KMS no contexto dessa instância e do segredo específico.

## Exemplo de uma política baseada em recursos para segredos do Secrets Manager
<a name="example-resource-policy-secrets-manager"></a>

Veja a seguir um exemplo de uma política baseada em recursos que você pode anexar ao seu segredo.

```
{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///"
        }
      }
    }
  ]
}
```

## Exemplo de uma política baseada em recursos para s AWS KMS key
<a name="example-resource-policy-kms-keys"></a>

Veja a seguir um exemplo de uma política baseada em recursos que você pode anexar à sua chave KMS.

```
{
  "Version":"2012-10-17",		 	 	                    
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "connect.amazonaws.com"
        ]
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "ArnLike": {
          "aws:sourceArn": "///the ARN of your Amazon Connect instance///"
        },
        "StringEquals": {
          "aws:sourceAccount": "///Your account ID///",
          "kms:EncryptionContext:SecretARN": "///the ARN of your secrets manager secret///"
        }
      }
    }
  ]
}
```

## Anexando uma política baseada em recursos ao seu segredo do Secrets Manager
<a name="attaching-resource-policy-secrets-manager"></a>

[Para anexar uma política baseada em recursos ao seu segredo, acesse o console do Secrets Manager no Console de gerenciamento da AWS, navegue até seu segredo, escolha **Editar Permissões ou Permissões****de Recursos** e, em seguida, adicione ou modifique a política de recursos diretamente na página para que fique semelhante ao exemplo.](#example-resource-policy-secrets-manager) Você também pode anexar a política de recursos por meio do `put-resource-policy` comando AWS CLI's ou programaticamente usando a operação da [PutResourcePolicy](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_PutResourcePolicy.html)API.

## Anexar uma política baseada em recursos à sua chave KMS
<a name="attaching-resource-policy-kms-key"></a>

[Para anexar uma política baseada em recursos à sua chave KMS, acesse o AWS Key Management Service console no Console de gerenciamento da AWS, navegue até sua chave KMS e edite sua política de chaves para que se pareça com o exemplo.](#example-resource-policy-kms-keys) Você também pode atualizar a chave por meio do `put-key-policy` comando AWS CLI's ou programaticamente usando a operação da [PutKeyPolicy](https://docs.aws.amazon.com/kms/latest/APIReference/API_PutKeyPolicy.html)API.

## Chaves de API rotativas
<a name="rotating-api-keys"></a>

Recomendamos alternar as chaves de API pelo menos a cada 90 dias para minimizar o risco de comprometimento e manter um processo de rotação de chaves bem praticado para situações de emergência.

Para rotacionar uma chave de API, você precisa rotacionar o segredo no qual ela está contida. Consulte [Rotate Secrets Manager Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html) no *Guia do Usuário do Secrets Manager* para obter mais informações sobre como alternar segredos. Ao alternar uma chave de API, é recomendável esperar que o uso da chave anterior caia para zero antes de revogar a chave de API antiga para garantir que as solicitações em andamento não sejam afetadas.