本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
删除密 Amazon Secrets Manager 钥
由于机密的关键性, Amazon Secrets Manager 故意使删除机密变得困难。Secrets Manager 不会立即删除密钥。而是Secrets Manager 会立即使这些密钥无法访问,并计划在恢复时段(最少 为 7 天)后删除这些密钥。在恢复时段结束后,您才能恢复以前删除的密钥。标记为已删除的密钥不收取任何费用。
如果已将主密钥复制到其他区域,则无法将其删除。首先删除副本,然后删除主密钥。在您删除副本时,该副本会被立即删除。
您无法直接删除某个密钥版本,相反,您可以使用 Amazon CLI 或 Amazon SDK 从版本中移除所有暂存标签。这会将该版本标记为已弃用,并允许 Secrets Manager 在后台自动删除该版本。
如果您不知道应用程序是否仍在使用密钥,则可以创建一个 Amazon CloudWatch 警报,提醒您在恢复时段内有人尝试访问密钥。有关更多信息,请参阅 监控计划删除的 Amazon Secrets Manager 密钥何时被访问。
要删除密钥,您必须具有 secretsmanager:ListSecrets 和 secretsmanager:DeleteSecret 权限。
当您删除密钥时,Secrets Manager 会生成一个 CloudTrail 日志条目。有关更多信息,请参阅 使用记录 Amazon Secrets Manager 事件 Amazon CloudTrail。
删除密钥 (控制台)
打开 Secrets Manager 控制台,网址为https://console.aws.amazon.com/secretsmanager/
。 在密钥列表中,选择要删除的密钥。
在密钥详细信息部分中,选择操作,然后选择编辑描述。
在禁用密钥和计划删除对话框中,在等待时间下,输入永久删除之前等待的天数。Secrets Manager 附加一个名为
DeletionDate的字段,并将其设置为当前日期和时间加上为恢复时段指定的天数。选择计划删除。
查看已删除的密钥
打开 Secrets Manager 控制台,网址为https://console.aws.amazon.com/secretsmanager/
。 -
在密钥页面上,选择偏好 (
)。 -
在“首选项”对话框中,选择显示计划删除的密钥,然后选择保存。
删除副本密钥
打开 Secrets Manager 控制台,网址为https://console.aws.amazon.com/secretsmanager/
。 -
选择主密钥。
-
在复制密钥密钥部分,选择副本密钥。
-
从 Actions (操作) 菜单中选择 Delete Stack (删除副本)。
Amazon CLI
例 删除密钥
以下 delete-secret 示例将删除密钥。您可以在 DeletionDate 响应字段中的日期和时间restore-secret之前恢复密钥。要删除复制到其他区域的密钥,请先使用 remove-regions-from-replication 删除其副本,然后调用 delete-secret。
aws secretsmanager delete-secret \ --secret-id MyTestSecret \ --recovery-window-in-days 7
例 立即删除密钥
以下 delete-secret 示例将立即删除密钥而没有恢复时段。您无法恢复此密钥。
aws secretsmanager delete-secret \ --secret-id MyTestSecret \ --force-delete-without-recovery
例 删除副本密钥
以下 remove-regions-from-replication 示例将删除 eu-west-3 中的副本密钥。要删除复制到其他区域的主密钥,请先删除副本,然后调用 delete-secret。
aws secretsmanager remove-regions-from-replication \ --secret-id MyTestSecret \ --remove-replica-regions eu-west-3
Amazon SDK
要删除密钥,请使用 DeleteSecret 命令。要删除密钥版本,请使用 UpdateSecretVersionStage 命令。要删除副本,请使用 StopReplicationToReplica 命令。有关更多信息,请参阅 Amazon SDKs。