本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
删除 Amazon Secrets Manager 密钥
由于密钥非常重要,Amazon Secrets Manager 是很难有意删除密钥的。Secrets Manager 不会立即删除密钥。而是Secrets Manager 会立即使这些密钥无法访问,并计划在恢复时段(最少 为 7 天)后删除这些密钥。在恢复时段结束后,您才能恢复以前删除的密钥。标记为已删除的密钥不收取任何费用。
如果已将主密钥复制到其他区域,则无法将其删除。首先删除副本,然后删除主密钥。在您删除副本时,该副本会被立即删除。
您无法直接删除某个密钥版本,而是用 Amazon CLI 或 Amazon SDK 移除版本中的所有暂存标注。这会将该版本标记为已弃用,并允许 Secrets Manager 在后台自动删除该版本。
如果您不知道应用程序仍在使用密钥,则可以创建 Amazon CloudWatch 告警以提醒您在恢复时段任何尝试访问密钥的行为。有关更多信息,请参阅使用 Amazon CloudWatch 监控计划删除的 Amazon Secrets Manager 密钥。
要删除密钥,您必须具有 secretsmanager:ListSecrets 和 secretsmanager:DeleteSecret 权限。
当您删除密钥时,Secrets Manager 会生成 CloudTrail 日志条目。有关更多信息,请参阅使用 Amazon CloudTrail 记录 Amazon Secrets Manager 事件。
删除密钥 (控制台)
通过 https://console.aws.amazon.com/secretsmanager/
打开 Secrets Manager 控制台。 在密钥列表中,选择要删除的密钥。
在密钥详细信息部分中,选择操作,然后选择编辑描述。
在禁用密钥和计划删除对话框中,在等待时间下,输入永久删除之前等待的天数。Secrets Manager 附加一个名为
DeletionDate的字段,并将其设置为当前日期和时间加上为恢复时段指定的天数。选择计划删除。
查看已删除的密钥
在 https://console.aws.amazon.com/secretsmanager/
打开 Secrets Manager 控制台 -
在密钥页面上,选择偏好 (
)。 -
在“首选项”对话框中,选择显示计划删除的密钥,然后选择保存。
删除副本密钥
在 https://console.aws.amazon.com/secretsmanager/
打开 Secrets Manager 控制台 -
选择主密钥。
-
在复制密钥密钥部分,选择副本密钥。
-
从 Actions (操作) 菜单中选择 Delete Stack (删除副本)。
Amazon CLI
例 删除密钥
以下 delete-secret 示例将删除密钥。您可以使用 restore-secret 恢复机密,直到 DeletionDate 响应字段中的日期和时间。要删除复制到其他区域的密钥,请先使用 remove-regions-from-replication 删除其副本,然后调用 delete-secret。
aws secretsmanager delete-secret \ --secret-id MyTestSecret \ --recovery-window-in-days 7
例 立即删除密钥
以下 delete-secret 示例将立即删除密钥而没有恢复时段。您无法恢复此密钥。
aws secretsmanager delete-secret \ --secret-id MyTestSecret \ --force-delete-without-recovery
例 删除副本密钥
以下 remove-regions-from-replication 示例将删除 eu-west-3 中的副本密钥。要删除复制到其他区域的主密钥,请先删除副本,然后调用 delete-secret。
aws secretsmanager remove-regions-from-replication \ --secret-id MyTestSecret \ --remove-replica-regions eu-west-3
Amazon SDK
要删除密钥,请使用 DeleteSecret 命令。要删除密钥版本,请使用 UpdateSecretVersionStage 命令。要删除副本,请使用 StopReplicationToReplica 命令。有关更多信息,请参阅Amazon 软件开发工具包。