创建和管理多区域Secrets Manager密钥 - AWS Secrets Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建和管理多区域Secrets Manager密钥

Secrets Manager 利用 ,您可以轻松复制多个 AWS 区域中的密钥,以支持跨这些区域及灾难恢复方案分布的应用程序。您可以在一个 AWS 区域中创建主密钥,然后将密钥复制到应用程序在其中使用密钥的所有 AWS 区域。 Secrets Manager 安全地复制主密钥以用于指定的 AWS 区域,而不会产生管理此功能的复杂自定义解决方案的开销。

Secrets Manager 通过将主密钥和关联的元数据复制到副本密钥, 可以轻松地管理多区域密钥的生命周期。复制的密钥在所有区域中都有一个公用名,使您能够轻松找到多区域密钥,并开始使用它们并对您的应用程序进行最少的更改。 与 AWS Key Management Service (AWS KMS) Secrets Manager 集成,以使用受 AWS KMS 客户主密钥 (CMK) 保护的唯一数据密钥加密每个密钥的每个版本。这种集成可根据绝不会让 AWS KMS 处于未加密的加密密钥来保护您的密钥。

Secrets Manager 跨指定区域复制所有加密的密钥数据和元数据,如标签、资源策略和密钥更新,如轮换。

您可以设置基于标签的单个IAM策略,以在所有 区域中预置密钥的访问权限。

您还可以使用此功能在所需区域中复制和读取密钥,以满足多区域应用程序的区域访问和低延迟要求。使用多区域密钥,通过将任何密钥副本转换为独立密钥并单独设置复制来支持灾难恢复策略。

您可以在所有已启用的 AWS 区域中复制密钥。但是,如果您Secrets Manager在特殊 AWS 区域(如 AWS GovCloud 或 AWS 中国区域)中使用 ,则只能在这些专用 AWS 区域中配置密钥和副本。您无法将已启用的 AWS 区域中的密钥复制到专用区域,也无法将密钥从专用区域复制到商业区域。

在 中启用区域 AWS

AWS 区域是地理区域中的 AWS 资源的集合。每个 AWS 区域都是隔离的,独立于其他区域。区域提供容错能力、稳定性和弹性,还可以减少延迟。它们使您能够创建保持可用且不受区域中断影响的冗余资源。

如果默认情况下禁用了某个区域,则必须先启用该区域,然后才能创建和管理 资源。默认情况下,以下区域处于禁用状态:

  • 非洲(开普敦)

  • 亚太地区(香港)

  • 欧洲(米兰)

  • 中东(巴林)

当您启用某个区域时,AWS 会执行操作来准备您在该区域的账户,例如将您的 IAM 资源分配到该区域。对大多数账户而言,此过程需要几分钟时间,但也有可能要用数小时的时间。在此过程完成之前,您无法使用区域。

有关启用区域的更多信息,请参阅管理 AWS 区域。

您可以使用 Secrets Manager 控制台、API 或 CLI 管理多区域密钥,或使用 AWS CloudFormation 模板预置它们。