创建 Amazon Secrets Manager 密钥 - Amazon Secrets Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建 Amazon Secrets Manager 密钥

秘密可以是密码、一组凭证(如用户名和密码)、OAuth 令牌或以加密形式存储在 Secrets Manager 中的其他秘密信息。

提示

对于 Amazon RDS 和 Amazon Redshift 管理员用户凭证,我们建议您使用托管密钥。您可以通过管理服务创建托管密钥,然后可以使用托管轮换

当使用控制台存储复制到其他区域的源数据库的数据库凭证时,密钥将包含源数据库的连接信息。然后复制密钥时,副本将是源密钥的副本,并且包含相同的连接信息。您可以在密钥中添加其他键值对以记录区域连接信息。

要创建密钥,您需要 SecretsManagerReadWrite 托管策略授予权限。

当您创建密钥时,Secrets Manager 会生成 CloudTrail 日志条目。有关更多信息,请参阅 使用 Amazon CloudTrail 记录 Amazon Secrets Manager 事件

创建密钥(控制台)
  1. 通过 https://console.aws.amazon.com/secretsmanager/ 打开 Secrets Manager 控制台。

  2. 选择 存储新密钥

  3. Choose secret type(选择密钥类型)页面上,执行以下操作:

    1. 对于 Secret type(密钥类型),执行以下操作之一:

      • 要存储数据库凭证,请选择要存储的数据库凭证类型。然后选择数据库,并输入凭证

      • 要存储非用于数据库的 API 密钥、访问令牌和凭证,请选择其他类型的密钥

        键值对中,请以 JSON 键值对格式输入密钥,或者选择明文选项卡,然后以任何格式输入密钥。您可以在密钥中存储最多 65536 个字节。一些示例:

        API key

        输入键/值对:

        ClientID : my_client_id

        ClientSecret : wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

        OAuth token

        输入明文:

        AKIAI44QH8DHBEXAMPLE

        Digital certificate

        输入明文:

        -----BEGIN CERTIFICATE----- EXAMPLE -----END CERTIFICATE-----
        Private key

        输入明文:

        –--- BEGIN PRIVATE KEY ---- EXAMPLE ––-- END PRIVATE KEY –---
    2. 对于加密密钥,选择 Secrets Manager 用于加密密钥值的 Amazon KMS key。有关更多信息,请参阅 密钥加密和解密

      • 在大多数情况下,请选择 aws/secretsmanager 以将 Amazon 托管式密钥 用于 Secrets Manager。使用此密钥不产生任何费用。

      • 如果您需要从另一个 Amazon Web Services 账户 处访问密钥,或者如果您想使用自己的 KMS 密钥,以便轮换密钥或对其应用密钥策略,请从列表中选择客户托管密钥,或者选择 Add New Key(添加新密钥)以创建密钥。有关使用客户托管密钥的成本的信息,请参阅 定价

        您必须具有 KMS 密钥的权限。有关跨账户访问的更多信息,请参阅从其他账户访问 Amazon Secrets Manager 密钥

    3. 选择下一步

  4. Configure secret(配置密钥)页面上,执行以下操作:

    1. 输入一个描述性的 Secret name(密钥名称)和 Description(说明)。密钥名称可以包含 1-512 个字母数字和 /_+=.@- 字符。

    2. (可选)在标签部分中,在您的密钥中添加一个或多个标签。有关标记策略,请参阅 标记 Amazon Secrets Manager 密钥。请不要将敏感信息存储在标签中,因为它们未加密。

    3. (可选)在资源权限,要将资源策略添加到您的密钥中,请选择编辑权限。有关更多信息,请参阅 基于资源的策略

    4. (可选)在 Replicate secret(复制密钥)中,要将密钥复制到另一个 Amazon Web Services 区域 中,请选择 Replicate secret(复制密钥)。您可以现在复制密钥,也可以回头再复制。有关更多信息,请参阅 跨区域复制密钥

    5. 选择下一步

  5. (可选)在 Configure rotation(配置轮换)页面上,您可以启用自动轮换。您也可以现在保持关闭轮换,然后稍后将其打开。有关更多信息,请参阅 轮换 密钥。选择下一步

  6. Review (审核) 页上,审核您的密钥详细信息,然后选择 Store (存储)

    Secrets Manager 将返回到密钥列表。如果您的新密钥未显示,请选择 Refresh(刷新)按钮。

Amazon CLI

当您在命令 shell 中输入命令时,存在访问命令历史记录或实用程序可以访问您命令参数的风险。请参阅 降低使用 Amazon CLI 存储 Amazon Secrets Manager 密钥的风险

例 根据 JSON 文件中的数据库凭证创建密钥

以下 create-secret 示例将根据文件中的凭证创建密钥。有关更多信息,请参阅《Amazon CLI 用户指南》中的从文件加载 Amazon CLI 参数

要使 Secrets Manager 能够轮换密钥,您必须确保 JSON 符合密钥的 JSON 结构

aws secretsmanager create-secret \ --name MyTestSecret \ --secret-string file://mycreds.json

mycreds.json 的内容:

{ "engine": "mysql", "username": "saanvis", "password": "EXAMPLE-PASSWORD", "host": "my-database-endpoint.us-west-2.rds.amazonaws.com", "dbname": "myDatabase", "port": "3306" }
例 创建密钥

以下 create-secret 示例将创建包含两个键值对的密钥。

aws secretsmanager create-secret \ --name MyTestSecret \ --description "My test secret created with the CLI." \ --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"

Amazon 软件开发工具包

要通过使用其中一个 Amazon 软件开发工具包创建密钥,请使用 CreateSecret 操作。有关更多信息,请参阅 Amazon SDKs