Setiap cluster Kubernetes dilengkapi dengan objek Rahasia bawaan. Sepertinya keamanan. Rasanya seperti keamanan. Ini bukan keamanan.
Rahasia Kubernetes, secara default, hanyalah sebuah string berkode base64 yang disimpan di etcd — dapat dibaca oleh siapa pun yang memiliki akses cluster dan dapat didekodekan dengan mudah menggunakan satu kalimat: echo "c2VjcmV0" | base64 -d. Kecuali Anda secara eksplisit mengaktifkan enkripsi saat istirahat (dan sebagian besar tim belum mengaktifkannya), kata sandi basis data, token API, dan kunci pribadi TLS Anda tidak terenkripsi di penyimpanan data bidang kendali kluster Anda. Komit manifes Kubernetes yang berisi Rahasia ke Git, dan kredensial tersebut akan tersimpan dalam riwayat repositori Anda selamanya.
Ini adalah masalah yang harus dipecahkan oleh alat pengelolaan rahasia generasi baru — dan pada tahun 2026, ekosistem telah berkembang secara signifikan. Panduan ini mencakup enam alat paling penting untuk mengelola rahasia di lingkungan Kubernetes: apa yang mereka lakukan, apa yang tidak mereka lakukan, dan mana yang sesuai dengan tingkat kematangan tim Anda.
Bacaan terkait: Jika Anda khawatir tentang rahasia yang bocor melalui pipeline CI/CD Anda, lihat kumpulan alat pipeline CI/CD terbaik kami. Untuk gambaran keamanan container yang lebih luas, lihat panduan alat pemindaian kerentanan.
Mengapa Rahasia Default Kubernetes Gagal
Sebelum mendalami alatnya, ada baiknya Anda mengetahui secara tepat apa yang kurang dari Rahasia Kubernetes — karena memahami kesenjangan inilah yang memungkinkan Anda memilih solusi yang tepat.
**Tidak ada enkripsi saat istirahat secara default.**etcd menyimpan Rahasia Kubernetes sebagai base64, tidak dienkripsi. Mengaktifkan Enkripsi Saat Istirahat adalah langkah konfigurasi tingkat cluster yang ditangani oleh penyedia Kubernetes terkelola (EKS, GKE, AKE) secara berbeda, dan banyak cluster yang dikelola sendiri mengabaikannya sepenuhnya.
Tidak ada rotasi rahasia. Tidak ada mekanisme bawaan bagi Rahasia Kubernetes untuk mengetahui bahwa kredensial pendukungnya telah berubah. Anda merotasi kata sandi database secara eksternal, dan pod Anda tetap menggunakan kata sandi lama hingga Anda memperbarui Rahasia secara manual dan memulai ulang pod yang terpengaruh.
Tidak ada log audit untuk akses rahasia. Catatan logging audit Kubernetes standar Modifikasi objek rahasia, tetapi sebagian besar konfigurasi tidak mencatat pembacaan individual — artinya Anda tidak dapat menjawab “layanan mana yang mengakses token ini dan kapan?”
Secara desain Git bermusuhan. Saran standarnya adalah “jangan pernah memasukkan Rahasia ke Git.” Namun di dunia GitOps yang tujuannya adalah segala sesuatu sebagai kode, hal ini merupakan pengecualian yang sulit untuk dipertahankan.
RBAC sebagai instrumen tumpul. Kubernetes RBAC memungkinkan Anda memberikan atau menolak akses ke objek Rahasia di tingkat namespace. Itu tidak dapat menyatakan “Layanan A dapat membaca rahasia X tetapi tidak dapat membaca rahasia Y,” atau “Rahasia ini kedaluwarsa dalam 24 jam.”
Tidak ada satu pun dari hal ini yang menjadi alasan untuk meninggalkan Kubernetes — hal tersebut merupakan alasan untuk menggunakan alat manajemen rahasia khusus di atasnya.
TL;DR — Perbandingan Fitur
| Alat | Enkripsi Saat Istirahat | Rahasia Dinamis | Log Audit | K8 Asli | Multi-Cloud | Harga |
|---|---|---|---|---|---|---|
| ** Gudang HashiCorp ** | ✅ | ✅ | ✅ | ⚠️ (melalui agen) | ✅ | OSS Gratis / HCP berbayar |
| Operator Rahasia Eksternal | ✅ (melalui ujung belakang) | ✅ (melalui ujung belakang) | ✅ (melalui ujung belakang) | ✅ | ✅ | Gratis / OSS |
| Rahasia Tersegel | ✅ | ❌ | ❌ | ✅ | ❌ | Gratis / OSS |
| Manajer Rahasia AWS | ✅ | ✅ | ✅ | ⚠️ (melalui ESO/CSI) | ❌ (khusus AWS) | Penetapan harga per rahasia |
| Doppler | ✅ | ❌ | ✅ | ✅ (operator) | ✅ | Gratis → tingkatan berbayar |
| Infisik | ✅ | ✅ | ✅ | ✅ (operator) | ✅ | OSS / awan berbayar |
⚠️ = memerlukan komponen tambahan
1. HashiCorp Vault — Standar Emas untuk Rahasia Perusahaan
HashiCorp Vault adalah tolok ukur yang digunakan untuk mengukur setiap alat pengelolaan rahasia lainnya. Ini telah diuji coba di lingkungan perusahaan selama hampir satu dekade, dan rangkaian fiturnya mencerminkan kedalaman tersebut.
Kemampuan inti Vault adalah rahasia dinamis — kredensial yang dibuat sesuai permintaan dan otomatis habis masa berlakunya. Daripada menyimpan kata sandi PostgreSQL statis, Vault membuat pasangan nama pengguna/kata sandi unik untuk setiap layanan yang meminta, valid untuk periode sewa yang dapat dikonfigurasi (misalnya, satu jam). Ketika masa sewa berakhir, kredensial dicabut. Hal ini menghilangkan seluruh kelas penyebaran kredensial dan membuat pengendalian pelanggaran menjadi jauh lebih mudah.
Untuk Kubernetes, Vault Agent Injector atau Vault Secrets Operator adalah jalur integrasi. Injektor berjalan sebagai webhook yang bermutasi dan secara otomatis memindahkan agen Vault ke dalam pod Anda, yang mengautentikasi ke Vault menggunakan akun layanan Kubernetes pada pod dan menulis rahasia ke volume dalam memori bersama. Vault Secrets Operator (VSO), pendekatan yang lebih baru, menyinkronkan rahasia Vault ke objek Rahasia Kubernetes asli — lebih familiar bagi operator, dengan mengorbankan rahasia yang sudah ada secara singkat di dll.
Mesin rahasia Vault mencakup jangkauan yang mengesankan:
- Kredensial basis data (PostgreSQL, MySQL, MongoDB, dan lainnya)
- AWS, GCP, kredensial dinamis Azure
- Pembuatan sertifikat PKI dan TLS
- Penandatanganan sertifikat SSH
- Token akun layanan Kubernetes
Keunggulan Vault: Kredensial dinamis, kebijakan akses yang terperinci, log audit yang komprehensif, dan ekosistem plugin yang matang. Jika Anda memerlukan manajemen rahasia tingkat kepatuhan dengan jejak lengkap siapa-mengakses-apa-kapan, Vault sering kali merupakan satu-satunya pilihan yang masuk akal.
Yang harus diperhatikan: Vault memiliki kompleksitas operasional. Menjalankannya dalam mode ketersediaan tinggi memerlukan perhatian yang cermat terhadap backend penyimpanan (Raft sekarang menjadi pilihan yang disarankan), prosedur pelepasan segel, dan jalur peningkatan. Kurva pembelajaran itu nyata. Anggaran untuk waktu rekayasa platform.
Harga: Versi sumber terbuka gratis dan mencakup sebagian besar kebutuhan. HashiCorp Cloud Platform (HCP) Vault adalah penawaran terkelola dengan harga berdasarkan jam cluster dan operasi rahasia. Perubahan lisensi BSL mulai tahun 2023 menghasilkan fork OpenTofu untuk Terraform, tetapi fork yang setara dengan Vault (OpenBao) masih dalam tahap pengembangan.
📚 Bacaan yang direkomendasikan: Meretas Kubernetes oleh Andrew Martin dan Michael Hausenblas — cakupan permukaan serangan Kubernetes yang luar biasa termasuk skenario eksfiltrasi rahasia.
2. Operator Rahasia Eksternal (ESO) — Lapisan Integrasi K8s-Native
Operator Rahasia Eksternal memiliki arsitektur yang berbeda secara fundamental: alih-alih menjadi gudang rahasia, ini adalah jembatan antara Kubernetes dan penyimpanan eksternal apa pun yang sudah Anda miliki. ESO menyinkronkan rahasia dari AWS Secrets Manager, GCP Secret Manager, Azure Key Vault, HashiCorp Vault, 1Password, Doppler, dan daftar backend lainnya yang terus bertambah ke dalam objek Rahasia Kubernetes asli.
Abstraksi inti adalah sumber daya khusus ExternalSecret:
apiVersion: external-secrets.io/v1beta1
kind: ExternalSecret
metadata:
name: database-credentials
spec:
refreshInterval: 1h
secretStoreRef:
name: aws-secrets-manager
kind: ClusterSecretStore
target:
name: db-creds
data:
- secretKey: password
remoteRef:
key: production/db/password
ESO mengawasi sumber daya ini, mengambil rahasia dari AWS Secrets Manager (atau di mana pun), dan membuat Rahasia Kubernetes standar. Aplikasi Anda membaca db-creds sama seperti Rahasia Kubernetes lainnya — tidak diperlukan perubahan kode. Ketika refreshInterval dicentang, ESO mengambil ulang dan memperbarui Rahasia secara otomatis.
Mengapa ESO begitu populer di tahun 2026: ESO cocok dengan investasi yang sudah ada. Organisasi Anda sudah memiliki AWS Secrets Manager (atau Vault, atau GCP Secret Manager) — ESO hanya membuat rahasia tersebut dapat digunakan di Kubernetes tanpa mengubah kode aplikasi atau alur kerja rotasi rahasia yang ada.
ESO atau Vault Secrets Operator? Jika Anda menjalankan Vault, VSO memiliki integrasi khusus Vault yang lebih erat (Rahasia dinamis Vault, Vault PKI). Jika Anda menggunakan penyimpanan rahasia asli penyedia cloud, ESO adalah pilihan yang lebih tepat. Banyak tim menjalankan keduanya — ESO untuk rahasia statis yang disimpan di cloud, VSO untuk kredensial dinamis yang dikelola Vault.
Harga: ESO gratis dan open source (Apache 2.0), dikelola oleh proyek sandbox CNCF dengan dukungan komunitas yang kuat.
3. Rahasia Tersegel — Rahasia Terenkripsi Ramah GitOps
Rahasia Tersegel oleh Bitnami memecahkan masalah tertentu: bagaimana Anda menyimpan manifes Rahasia Kubernetes di Git tanpa menyimpan teks biasa yang sebenarnya? Jawabannya adalah enkripsi asimetris.
Pengontrol Rahasia Tertutup berjalan di klaster Anda dan menyimpan kunci pribadi. CLI kubeseal mengenkripsi manifes Rahasia Kubernetes dengan kunci publik klaster, menghasilkan CRD SealedSecret. Manifes terenkripsi ini dapat dikomit ke Git dengan aman — hanya kunci pribadi klaster yang dapat mendekripsinya, dan hanya dapat didekripsi di klaster spesifik tersebut (secara default, teks sandi terikat pada namespace + nama).
# Encrypt a secret for Git storage
kubectl create secret generic db-creds \
--from-literal=password=s3cr3t \
--dry-run=client -o yaml | \
kubeseal --format=yaml > db-creds-sealed.yaml
# This file is safe to commit
git add db-creds-sealed.yaml
Saat Anda menerapkan SealedSecret ke cluster, pengontrol akan mendekripsinya dan membuat objek Secret yang sesuai.
Apa yang dilakukan Sealed Secrets dengan baik: Alur kerja GitOps. Jika Anda menggunakan Argo CD atau Flux dan ingin setiap sumber daya cluster (termasuk rahasia) disimpan secara deklaratif di Git, Sealed Secrets sangat cocok dengan model tersebut. Ini tidak memerlukan ketergantungan eksternal di luar pengontrol dalam cluster.
Apa yang tidak dilakukannya: Rotasi, kredensial dinamis, atau audit logging di luar peristiwa standar Kubernetes. Rahasia Tertutup adalah solusi penyimpanan Git, bukan platform manajemen rahasia lengkap. Jika kata sandi Anda berubah, Anda mengenkripsi ulang dan melakukan lagi.
Cadangan kunci pribadi sangat penting. Jika Anda kehilangan kunci pribadi pengontrol, Anda kehilangan kemampuan untuk mendekripsi rahasia tersegel. Cadangkan rahasia kunci rahasia-tersegel di lokasi terpisah dan aman.
Harga: Sepenuhnya gratis dan open source (Apache 2.0).
4. Manajer Rahasia AWS dengan Kubernetes
Jika beban kerja Anda terutama dijalankan di EKS (atau banyak terhubung ke layanan AWS), AWS Secrets Manager yang dipasangkan dengan Secrets Store CSI Driver atau External Secrets Operator adalah pilihan yang tepat. Anda menyimpan rahasia di penyimpanan AWS yang terkelola, terenkripsi, dan dicatat dalam audit dan menariknya ke Kubernetes bila diperlukan.
Secrets Store CSI Driver (SSCSID) adalah pendekatan yang dikelola CNCF: rahasia dipasang langsung ke dalam pod sebagai file melalui volume CSI, tidak pernah ditulis ke dll sebagai objek Rahasia Kubernetes. Ini adalah jalur dengan keamanan tertinggi — rahasia ada di memori pod tetapi tidak di penyimpanan Rahasia Kubernetes.
volumes:
- name: secrets-store
csi:
driver: secrets-store.csi.k8s.io
readOnly: true
volumeAttributes:
secretProviderClass: aws-secrets
Kemampuan asli AWS Secrets Manager mencakup rotasi otomatis untuk layanan yang didukung (RDS, Redshift, DocumentDB, dan melalui Lambda untuk rotasi kustom), akses lintas akun, dan integrasi CloudTrail mendalam untuk jalur audit kepatuhan.
Pertimbangan biaya: Biaya AWS Secrets Manager per rahasia per bulan dan per panggilan API. Untuk armada besar dengan banyak rahasia kecil, biayanya bisa bertambah. Lihat panduan pengoptimalan biaya cloud kami untuk mengetahui strategi dalam mengelola pembelanjaan AWS terkait rahasia.
Terbaik untuk: Tim asli EKS yang sudah berinvestasi di ekosistem AWS yang menginginkan integrasi IAM yang erat dan rotasi kredensial RDS asli.
5. Doppler — Platform Rahasia SaaS Pertama Pengembang
Doppler menggunakan pendekatan SaaS-first yang memprioritaskan pengalaman pengembang dibandingkan kompleksitas operasional. Anda menentukan rahasia di UI Doppler (atau melalui CLI/API), mengaturnya berdasarkan lingkungan (pengembangan, staging, produksi), dan operator Doppler Kubernetes menyinkronkannya ke dalam Rahasia Kubernetes secara otomatis.
Operator melakukan polling kepada Doppler untuk mengetahui perubahan dan memperbarui Rahasia Kubernetes yang terkait, dan secara opsional memicu restart pod ketika rahasia berubah. Penyiapannya adalah pemasangan bagan Helm tunggal:
helm repo add doppler https://helm.doppler.com
helm install --generate-name doppler/doppler-kubernetes-operator
Keunggulan Doppler: Pengembangan lokal dan integrasi CI/CD bersama Kubernetes. CLI Doppler menggantikan seluruh file lingkungan (doppler run -- perintah-Anda), memberikan rahasia yang sama di seluruh lingkungan lokal, CI, dan produksi. Untuk pipeline CI/CD, integrasi asli Doppler dengan GitHub Actions, CircleCI, dan lainnya menghilangkan kebutuhan untuk menyalin rahasia ke dalam variabel lingkungan pipeline.
Yang tidak tercakup dalam Doppler: Kredensial basis data dinamis. Doppler adalah penyimpanan rahasia statis dengan riwayat versi dan pencatatan audit — ini bukan mesin pembuat rahasia seperti Vault.
Harga: Doppler menawarkan tingkat gratis untuk tim kecil. Paket berbayar menambahkan SSO, permintaan akses, dan fitur kepatuhan. Periksa halaman harga Doppler untuk mengetahui tingkatan saat ini (perubahan harga; verifikasi sebelum membuat anggaran).
6. Infisical — Alternatif Vault Sumber Terbuka
Infisical adalah penantang sumber terbuka terkuat terhadap duopoli Vault/Doppler. Ini menyediakan UI web, CLI, SDK, dan operator Kubernetes — yang dapat dihosting sendiri atau digunakan sebagai layanan cloud.
Infisical menambahkan dukungan rahasia dinamis pada tahun 2024, menargetkan pembuatan kredensial database serupa dengan mesin rahasia database Vault. Operator Infisical Kubernetes menyinkronkan CRD InfisicalSecret ke Rahasia Kubernetes asli, dengan interval penyegaran yang dapat dikonfigurasi.
Untuk tim yang menginginkan UX tingkat SaaS (dasbor web, alur kerja permintaan akses, log audit) tetapi tidak dapat menggunakan SaaS eksternal karena persyaratan kepatuhan, Infisical yang dihosting sendiri sangat menarik. Pengoperasiannya jauh lebih mudah dibandingkan Vault dan memiliki pengalaman orientasi yang lebih ramah pengembang.
Harga: Inti sumber terbuka gratis. Versi yang dihosting di cloud memiliki tingkat gratis dan paket berbayar untuk fitur-fitur canggih. Lisensi perusahaan yang dihosting sendiri tersedia untuk lingkungan yang menuntut kepatuhan.
📚 Untuk mempelajari lebih dalam arsitektur keamanan Kubernetes: Keamanan dan Observabilitas Kubernetes di Amazon mencakup rahasia, RBAC, kebijakan jaringan, dan keamanan runtime dalam satu kerangka kerja yang kohesif.
Kiat Penerapan
Mulai dengan enkripsi saat tidak aktif. Sebelum menambahkan alat tambahan apa pun, aktifkan enkripsi Kubernetes dll saat tidak aktif. Untuk klaster terkelola, ini sering kali berupa kotak centang tunggal. Untuk cluster yang dikelola sendiri, ikuti panduan resmi. Hal ini akan segera meningkatkan postur keamanan dasar Anda.
Mengadopsi RBAC dengan hak istimewa paling rendah untuk Rahasia. Audit akun layanan mana yang memiliki izin dapatkan, daftar, atau tonton pada objek Rahasia. Akun layanan default di banyak diagram Helm disediakan secara berlebihan. Kencangkan RBAC sebelum memutar ke toko eksternal.
Rencanakan konvensi penamaan rahasia Anda sejak dini. Rahasia berkembang biak dengan cepat. Hierarki yang konsisten ({env}/{service}/{credential-type}) membuat otomatisasi, kebijakan RBAC, dan alur kerja rotasi menjadi jauh lebih sederhana di semua alat.
Jangan lewatkan pengujian rotasi rahasia. Alat apa pun yang Anda pilih, jalankan latihan rotasi sebelum Anda membutuhkannya. Verifikasi bahwa aplikasi Anda mengambil kredensial baru tanpa downtime. Rahasia dinamis dengan Vault atau ESO membuat hal ini jauh lebih mudah dibandingkan rahasia statis yang diperbarui secara manual.
Pantau penyebaran rahasia. Seiring berkembangnya platform Anda, rahasia pun terakumulasi. Integrasikan pelaporan manajemen rahasia ke dalam dasbor rekayasa platform Anda. Lihat panduan alat pemantauan Kubernetes untuk mengetahui alat observabilitas yang dapat melacak pola akses rahasia.
Alat Yang Mana untuk Tim Yang Mana?
Tim kecil, cloud-native (AWS/GCP/Azure): Mulailah dengan Operator Rahasia Eksternal yang terhubung ke penyimpanan rahasia asli penyedia cloud Anda. Overhead operasional minimal, integrasi audit yang solid, gratis.
Tim pertama GitOps (Argo CD / Flux): Rahasia Tersegel untuk konfigurasi yang disimpan di GitOps, dikombinasikan dengan ESO untuk kredensial runtime sensitif yang tidak boleh ada di Git bahkan dienkripsi.
Perusahaan dengan persyaratan kepatuhan (SOC 2, PCI, HIPAA): HashiCorp Vault — baik cluster Raft yang dihosting sendiri atau dikelola HCP Vault. Log audit, kredensial dinamis, dan mesin kebijakan yang terperinci sulit untuk ditiru di tempat lain.
Lingkungan campuran yang berfokus pada pengalaman pengembang (K8 + lokal + CI/CD): Doppler untuk DX terpadu di seluruh lingkungan, atau Infisical yang dihosting sendiri jika residensi data penting.
Tim platform besar yang mengelola lingkungan multi-cluster: Operator Rahasia Eksternal sebagai lapisan abstraksi sisi K8, didukung oleh Vault atau penyimpanan cloud-native. Memusatkan sumber kebenaran di satu toko sambil menggunakan ESO sebagai adaptor universal di seluruh cluster adalah pola yang sudah terbukti pada tahun 2026.
Terkait: Untuk risiko keamanan yang ditimbulkan oleh alat pengkodean AI ke dalam manifes Kubernetes dan pipeline CI/CD Anda, lihat panduan kami tentang risiko keamanan vibe coding pada tahun 2026.
Pertanyaan Umum
Apakah Rahasia Kubernetes dienkripsi secara default?
Tidak. Rahasia Kubernetes dikodekan dengan base64 secara default — pengkodean, bukan enkripsi. Data disimpan di etcd tanpa enkripsi kecuali Anda secara eksplisit mengaktifkan Enkripsi saat Istirahat. Selalu verifikasi konfigurasi klaster Anda dan pertimbangkan alat manajemen rahasia eksternal untuk beban kerja produksi.
Apa perbedaan antara Rahasia Tertutup dan Operator Rahasia Eksternal?
Rahasia Tertutup mengenkripsi manifes Rahasia untuk penyimpanan Git yang aman — ini adalah solusi GitOps. Operator Rahasia Eksternal mengambil rahasia langsung dari penyimpanan eksternal (Vault, AWS Secrets Manager, dll.) dan membuat Rahasia Kubernetes asli dari penyimpanan tersebut. Mereka memecahkan masalah yang berbeda dan sering digunakan bersama-sama.
Apa itu rahasia dinamis dan mengapa itu penting?
Rahasia dinamis adalah kredensial yang dihasilkan sesuai permintaan dengan masa berlaku otomatis — bukan kata sandi statis yang disimpan tanpa batas waktu. HashiCorp Vault adalah sumber utama rahasia dinamis untuk Kubernetes. Jika kredensial dinamis disusupi, kredensial tersebut akan habis masa berlakunya sesuai jadwalnya sendiri. Hal ini secara signifikan membatasi radius ledakan dibandingkan dengan rahasia statis yang berumur panjang.
Haruskah saya menggunakan Doppler atau HashiCorp Vault untuk Kubernetes?
Doppler unggul dalam pengalaman pengembang dan adopsi yang cepat. Vault unggul dalam hal kepatuhan perusahaan — kredensial dinamis, log audit terperinci, dan kebijakan terperinci. Untuk tim kecil hingga menengah, Doppler seringkali merupakan jalur yang lebih cepat. Untuk lingkungan SOC 2, PCI DSS, atau HIPAA, Vault biasanya merupakan pilihan yang lebih dapat dipertahankan.
Bagaimana cara mencegah bocornya rahasia ke dalam log kontainer?
Pasang rahasia sebagai file, bukan variabel lingkungan (variabel lingkungan dapat diekspos melalui /proc dan titik akhir debug). Gunakan Driver CSI Secrets Store untuk melewati dll sepenuhnya. Pindai penerapan rahasia yang tidak disengaja dalam pipeline CI/CD Anda dengan alat seperti pemindai rahasia Trivy — lihat panduan alat pemindaian kerentanan untuk detail penyiapan.
Apa alat manajemen rahasia terbaik untuk tim kecil Kubernetes?
Mulailah dengan Operator Rahasia Eksternal yang didukung oleh penyimpanan rahasia asli penyedia cloud Anda. Overhead operasi minimal, pencatatan audit yang solid, gratis. Tambahkan tingkat gratis Doppler jika Anda juga menginginkan pengalaman rahasia pengembangan/CI/produksi terpadu.
Bagaimana cara mengintegrasikan AWS Secrets Manager dengan Kubernetes?
Gunakan Operator Rahasia Eksternal dengan ClusterSecretStore yang menunjuk ke AWS Secrets Manager. Di EKS, gunakan IRSA (Peran IAM untuk Akun Layanan) untuk autentikasi IAM tingkat pod — tidak diperlukan kredensial statis. Pada klaster non-EKS, gunakan pengguna IAM dengan secretmanager:GetSecretValue yang dicakup ke ARN rahasia spesifik Anda.