创建密 Amazon Secrets Manager 钥 - Amazon Secrets Manager
Amazon CLIAmazon SDK
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建密 Amazon Secrets Manager 钥

要在 Secrets Manager 中存储 API 密钥、访问令牌、非用于数据库的凭证以及其他密钥,请按照以下步骤操作。对于 Amazon ElastiCache 密钥,如果您想启用轮换,则必须将该密钥存储在预期的 JSON 结构中。

要创建密钥,您需要获得授予的权限SecretsManagerReadWriteAmazon 托管策略

当你创建密钥时,Secrets Manager 会生成一个 CloudTrail 日志条目。有关更多信息,请参阅 使用记录 Amazon Secrets Manager 事件 Amazon CloudTrail

创建密钥(控制台)

  1. 通过 https://console.aws.amazon.com/secretsmanager/ 打开 Secrets Manager 控制台。

  2. 选择 存储新密钥

  3. Choose secret type(选择密钥类型)页面上,执行以下操作:

    1. 对于密钥类型,请选择其他密钥类型

    2. 键值对中,请以 JSON 键值对格式输入密钥,或者选择明文选项卡,然后以任何格式输入密钥。您可以在密钥中存储最多 65536 个字节。一些示例:

      API 密钥键值对:

      ClientID : my_client_id

      ClientSecret: wjalrxutnfemi/k7mdeng/ cyexampleK bPxRfi EY
      凭证键值对:

      Username : saanvis

      Password : EXAMPLE-PASSWORD
      OAuth 令牌明文:

      AKIAI44QH8DHBEXAMPLE
      数字证书明文:
      -----BEGIN CERTIFICATE-----
EXAMPLE
-----END CERTIFICATE-----
      私有密钥明文:
      –---BEGIN PRIVATE KEY –--
EXAMPLE
––-- END PRIVATE KEY –---

    3. 对于加密密钥,选择 Secrets Manager 用来加密密钥值的。 Amazon KMS key 有关更多信息,请参阅 密钥加密和解密

      • 在大多数情况下,请选择 aws/secretsmanager 以将 Amazon 托管式密钥 用于 Secrets Manager。使用此密钥不产生任何费用。

      • 如果您需要从其他密钥访问密钥 Amazon Web Services 账户,或者想要使用自己的 KMS 密钥以便轮换密钥或对其应用密钥策略,请从列表中选择客户托管密钥或选择添加新密钥来创建一个。有关使用客户托管密钥的成本的信息,请参阅 定价

        您必须具有 KMS 密钥的权限。有关跨账户访问的更多信息,请参阅从其他账户访问 Amazon Secrets Manager 密钥

    4. 选择下一步

  4. Configure secret(配置密钥)页面上,执行以下操作:

    1. 输入一个描述性的 Secret name(密钥名称)和 Description(说明)。密钥名称必须包含 1-512 个 Unicode 字符。

    2. (可选)在标签部分中,在您的密钥中添加一个或多个标签。有关标记策略,请参阅 标记 Amazon Secrets Manager 密钥。请不要将敏感信息存储在标签中,因为它们未加密。

    3. (可选)在资源权限,要将资源策略添加到您的密钥中,请选择编辑权限。有关更多信息,请参阅 将权限策略附加到 Amazon Secrets Manager 密钥

    4. (可选)在复制密钥中,要将您的密钥复制到另一个密钥 Amazon Web Services 区域,请选择复制密钥。您可以现在复制密钥,也可以回头再复制。有关更多信息,请参阅 跨区域复制密钥

    5. 选择 下一步

  5. (可选)在 Configure rotation(配置轮换)页面上,您可以启用自动轮换。您也可以现在保持关闭轮换,然后稍后将其打开。有关更多信息,请参阅 轮换 密钥。选择 下一步

  6. Review (审核) 页上,审核您的密钥详细信息,然后选择 Store (存储)

    Secrets Manager 将返回到密钥列表。如果您的新密钥未显示,请选择 Refresh(刷新)按钮。

Amazon CLI

当您在命令 shell 中输入命令时,存在访问命令历史记录或实用程序可以访问您命令参数的风险。请参阅 降低使用 Amazon CLI 存储 Amazon Secrets Manager 密钥的风险

例 创建密钥

以下 create-secret 示例将创建包含两个键值对的密钥。

aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
例 根据 JSON 文件中的凭证创建密钥

以下 create-secret 示例将根据文件中的凭证创建密钥。有关更多信息,请参阅《 Amazon CLI 用户指南》中的从文件加载 Amazon CLI 参数

aws secretsmanager create-secret \
    --name MyTestSecret \
    --secret-string file://mycreds.json

mycreds.json 的内容:

{
    "username": "diegor",
    "password": "EXAMPLE-PASSWORD"
}

Amazon SDK

要使用其中一个 Amazon SDK 创建密钥,请使用CreateSecret操作。有关更多信息,请参阅 Amazon 软件开发工具包