开始使用 Amazon Secrets Manager
您的企业可能有许多不同类型的密钥。以下是其中一些密钥,以及您可能会在 Amazon 中存储它们的位置:
-
Amazon 凭证 – Amazon Identity and Access Management
-
SSH 密钥 – Amazon EC2 Instance Connect
-
私钥和证书 – Amazon Certificate Manager
-
数据库凭证 – Secrets Manager
-
应用程序凭证 – Secrets Manager
-
OAuth 令牌 – Secrets Manager
-
应用程序编程接口 (API) 密钥 – Secrets Manager
Secrets Manager 的概念
以下概念对了解 Secrets Manager 的工作原理来说很重要。
密钥
在 Secrets Manager 中,密钥由密钥信息、密钥值和密钥元数据组成。密钥值可以是字符串或二进制值。为了将多个字符串值存储在一个密钥中,我们建议您使用带有键/值对的 JSON 文本字符串,例如:
{ "host" : "ProdServer-01.databases.example.com", "port" : "8888", "username" : "administrator", "password" : "
EXAMPLE-PASSWORD
", "dbname" : "MyDatabase", "engine" : "mysql" }
密钥元数据包括:
Secrets Manager 使用 IAM 权限策略来确保只有授权用户可以访问或修改密钥。请参阅 Amazon Secrets Manager 的身份验证和访问控制。
密钥有包含加密密钥值副本的版本。更改密钥值或轮换密钥时,Secrets Manager 会创建一个新版本。请参阅 版本。
您可以通过复制在多个 Amazon Web Services 区域 上使用一个密钥。复制密钥时,您可以创建原始或主密钥称为副本密钥。副本密钥保持链接到主密钥上。请参阅 将 Amazon Secrets Manager 密钥复制到其他 Amazon Web Services 区域。
请参阅 创建密钥。
轮换
轮换是指您定期升级密钥以使攻击者更难访问凭据的过程。在 Secrets Manager 中,您可以为密钥设置自动轮换。当 Secrets Manager 轮换密钥时,会同时更新密钥和数据库或服务中的凭据。请参阅 轮换 Amazon Secrets Manager 密钥。
版本
密钥有包含加密密钥值副本的版本。更改密钥值或轮换密钥时,Secrets Manager 会创建一个新版本。密钥始终具有带有暂存标注的版本 AWSCURRENT
,这是当前的密钥值。
在转换过程中,Secrets Manager 用暂存标签标识密钥的不同版本。
-
AWSCURRENT
表示客户端主动使用的版本。密钥总是有AWSCURRENT
版本。 -
AWSPENDING
表示转换完成时,将成为AWSCURRENT
的版本。 -
AWSPREVIOUS
表示上次已知良好的版本。换言之,是以前的AWSCURRENT
版本。
Secrets Manager 会取消没有暂存标签的版本,在超过 100 个时将其删除。Secrets Manager 不会移除 24 小时前创建的版本。
使用 Amazon CLI 或 Amazon SDK 获取密钥值时,您可以指定密钥版本。如果未通过版本 ID 或暂存标注指定版本,则 Secrets Manager 默认使用附加了 AWSCURRENT
暂存标注的版本。
您还可以将自己的暂存标注附加到版本,例如以指示开发版或生产版本。您最多可以将 20 个暂存标注附加到密钥。密钥的两个版本不能具有相同的暂存标注。