将 Amazon Secrets Manager 密钥复制到其他 Amazon Web Services 区域
您可以在多个 Amazon Web Services 区域 中复制密钥,为跨这些区域的应用程序提供支持,以满足区域访问和低延迟要求。如果以后需要,您可以将副本密钥升级为独立密钥,然后将其设置为独立复制。Secrets Manager 可以跨指定区域复制加密密钥数据和元数据,例如标签和资源策略。
复制密钥的 ARN 将显示副本所在的区域,例如:
-
主密钥:
arn:aws::secretsmanager:
Region1
:123456789012:secret:MySecret-a1b2c3 -
副本密钥:
arn:aws::secretsmanager:
。Region2
:123456789012:secret:MySecret-a1b2c3
有关副本密钥的定价信息,请参阅 Amazon Secrets Manager 定价
当存储复制到其他区域的源数据库的数据库凭证时,密钥将包含源数据库的连接信息。然后复制密钥时,副本将是源密钥的副本,并且包含相同的连接信息。您可以在密钥中添加其他键值对以记录区域连接信息。
如果您为主密钥启用轮换,Secrets Manager 将在主区域中进行密钥轮换,新的密钥值会传播到所有关联的副本密钥。您无需单独管理所有副本密钥的轮换。
您可以在所有已启用的 Amazon 区域复制密钥。但是,如果在特殊的 Amazon 区域使用 Secrets Manager,如 Amazon GovCloud (US) 或中国地区,您只能配置在这些 Amazon 区域中的密钥和副本。您无法将已启用的 Amazon 区域的密钥复制到专门区域,或将专门区域的密钥复制到商业区域。
在将密钥复制到另一个区域之前,您必须启用该区域。有关更多信息,请参阅管理 Amazon 区域。
通过调用存储密钥的区域中的 Secrets Manager 端点,则无需复制密钥即可在多个区域中使用密钥。有关 终端节点的列表,请参阅Secrets Manager 端点 。要使用复制提高工作负载的弹性,请参阅Amazon 上的灾难恢复(DR)体系结构,第 I 部分:云端恢复策略
要将密钥复制到其他地区(控制台)
打开 Secrets Manager 控制台:https://console.aws.amazon.com/secretsmanager/
。 -
在密钥列表页上,选择您的密钥。
-
在 Secret details(密钥详细信息)页面上,执行以下操作之一:
-
如果未复制密钥,请选择 Replicate secret(复制密钥)。
-
如果已复制密钥,请在 Replicate secret(复制密钥)部分,选择 Add Region(添加区域)。
-
-
在 Add replica regions 对话框中,执行以下操作:
-
针对 Amazon 区域,请选择要将密钥复制粘贴的区域。
-
(可选)对于加密密钥中,选择用来加密密钥的 KMS 密钥。密钥必须位于副本区域中。
-
(可选)要添加其他区域,请选择 Add more regions(添加更多区域)。
-
选择 Replicate(复制)。
此时会返回到密钥详细信息页面。Replicate secret(复制密钥)部分会显示每个区域的 Replication status(复制状态)。以下是可能造成复制失败的原因及相应的解决办法:
-
已失败 -选定区域中存在名称相同的密钥。其中一种解决办法是覆盖副本区域中的重复名称密钥。选择 Actions(操作)菜单,然后选择 Retry replication(重试复制)。在 Retry replication(重试复制)对话框中,选择 Overwrite(覆盖),然后选择 Retry replication(重试复制)。
-
已失败 -KMS 密钥上没有可用的权限来完成复制。另一种解决办法是通过更新 KMS 密钥的权限策略获得
kms:Decrypt
权限。 -
已失败-密钥复制因网络错误而失败。当网络可用时,选择 Actions(操作)菜单,然后选择 Retry replication(重试复制)。
-
Failed(已失败)- 您尚未启用要复制的区域。有关如何启用区域的更多信息,请参阅管理 Amazon 区域。
-
Amazon CLI
例 将密钥复制到其他区域
以下 replicate-secret-to-regions
示例将密钥复制到 eu-west-3。副本使用 Amazon 托管密钥 aws/secretsmanager 加密。
aws secretsmanager replicate-secret-to-regions \ --secret-id MyTestSecret \ --add-replica-regions Region=eu-west-3
Amazon SDK
要复制密钥,请使用 ReplicateSecretToRegions
命令。有关更多信息,请参阅Amazon 软件开发工具包。