开始使用 Amazon Secrets Manager - Amazon Secrets Manager
Secrets Manager 的概念
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

开始使用 Amazon Secrets Manager

您的企业可能有许多不同类型的密钥。以下是其中一些密钥,以及您可能会在 Amazon 中存储它们的位置:

Secrets Manager 的概念

以下概念对了解 Secrets Manager 的工作原理来说很重要。

密钥

在 Secrets Manager 中,密钥由密钥信息、密钥值和密钥元数据组成。密钥值可以是字符串或二进制值。为了将多个字符串值存储在一个密钥中,我们建议您使用带有键/值对的 JSON 文本字符串,例如:

{
  "host"       : "ProdServer-01.databases.example.com",
  "port"       : "8888",
  "username"   : "administrator",
  "password"   : "EXAMPLE-PASSWORD",
  "dbname"     : "MyDatabase",
  "engine"     : "mysql"
}

密钥元数据包括:

  • 具有以下格式的 Amazon Resource Name (ARN)。

    arn:aws:secretsmanager:<Region>:<AccountId>:secret:SecretName-6RandomCharacters

  • 密钥的名称、说明、资源策略和标签。

  • 加密密钥的 ARN,一个 Secrets Manager 用来加密和解密密钥值的 Amazon KMS key。Secrets Manager 始终以加密形式存储密钥文本,并在传输过程中加密密钥。请参阅密钥加密和解密

  • 如果设置了轮转,有关如何轮转密钥的信息。请参阅轮换

Secrets Manager 使用 IAM 权限策略来确保只有授权用户可以访问或修改密钥。请参阅Amazon Secrets Manager 的身份验证和访问控制

密钥有包含加密密钥值副本的版本。更改密钥值或轮换密钥时,Secrets Manager 会创建一个新版本。请参阅版本

您可以通过复制在多个 Amazon Web Services 区域 上使用一个密钥。复制密钥时,您可以创建原始或主密钥称为副本密钥。副本密钥保持链接到主密钥上。请参阅 将 Amazon Secrets Manager 密钥复制到其他 Amazon Web Services 区域

请参阅 用 Amazon Secrets Manager 创建和管理密钥

轮换

轮换是指您定期升级密钥以使攻击者更难访问凭据的过程。在 Secrets Manager 中,您可以为密钥设置自动轮换。当 Secrets Manager 轮换密钥时,会同时更新密钥和数据库或服务中的凭据。请参阅轮换 Amazon Secrets Manager 密钥

版本

密钥有包含加密密钥值副本的版本。更改密钥值或轮换密钥时,Secrets Manager 会创建一个新版本。密钥始终具有带有暂存标注的版本 AWSCURRENT,这是当前的密钥值。

在转换过程中,Secrets Manager 用暂存标签标识密钥的不同版本。

  • AWSCURRENT 表示客户端主动使用的版本。密钥总是有 AWSCURRENT 版本。

  • AWSPENDING 表示转换完成时,将成为 AWSCURRENT 的版本。

  • AWSPREVIOUS 表示上次已知良好的版本。换言之,是以前的 AWSCURRENT 版本。

Secrets Manager 会取消没有暂存标签的版本,在超过 100 个时将其删除。Secrets Manager 不会移除 24 小时前创建的版本。

使用 Amazon CLI 或 Amazon SDK 获取密钥值时,您可以指定密钥版本。如果未通过版本 ID 或暂存标注指定版本,则 Secrets Manager 默认使用附加了 AWSCURRENT 暂存标注的版本。

您还可以将自己的暂存标注附加到版本,例如以指示开发版或生产版本。您最多可以将 20 个暂存标注附加到密钥。密钥的两个版本不能具有相同的暂存标注。