删除 Amazon Secrets Manager 密钥 - Amazon Secrets Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

删除 Amazon Secrets Manager 密钥

由于密钥非常重要,Amazon Secrets Manager 是很难有意删除密钥的。Secrets Manager 不会立即删除密钥。而是Secrets Manager 会立即使这些密钥无法访问,并计划在恢复时段(最少 为 7 天)后删除这些密钥。在恢复时段结束后,您才能恢复以前删除的密钥。标记为已删除的密钥不收取任何费用。

如果已将主密钥复制到其他区域,则无法将其删除。首先删除副本,然后删除主密钥。在您删除副本时,该副本会被立即删除。

您无法直接删除某个密钥版本,而是用 Amazon CLI 或 Amazon SDK 移除版本中的所有暂存标注。这会将该版本标记为已弃用,并允许 Secrets Manager 在后台自动删除该版本。

如果您不知道应用程序仍在使用密钥,则可以创建 Amazon CloudWatch 告警以提醒您在恢复时段任何尝试访问密钥的行为。有关更多信息,请参阅使用 Amazon CloudWatch 监控计划删除的 Amazon Secrets Manager 密钥

要删除密钥,您必须具有 secretsmanager:ListSecretssecretsmanager:DeleteSecret 权限。

当您删除密钥时,Secrets Manager 会生成 CloudTrail 日志条目。有关更多信息,请参阅使用 Amazon CloudTrail 记录 Amazon Secrets Manager 事件

删除密钥 (控制台)
  1. 通过 https://console.aws.amazon.com/secretsmanager/ 打开 Secrets Manager 控制台。

  2. 在密钥列表中,选择要删除的密钥。

  3. 密钥详细信息部分中,选择操作,然后选择编辑描述

  4. 禁用密钥和计划删除对话框中,在等待时间下,输入永久删除之前等待的天数。Secrets Manager 附加一个名为 DeletionDate 的字段,并将其设置为当前日期和时间加上为恢复时段指定的天数。

  5. 选择计划删除

查看已删除的密钥
  1. https://console.aws.amazon.com/secretsmanager/ 打开 Secrets Manager 控制台

  2. 密钥页面上,选择偏好 ( )。

  3. 在“首选项”对话框中,选择显示计划删除的密钥,然后选择保存

删除副本密钥
  1. https://console.aws.amazon.com/secretsmanager/ 打开 Secrets Manager 控制台

  2. 选择主密钥。

  3. 复制密钥密钥部分,选择副本密钥。

  4. Actions (操作) 菜单中选择 Delete Stack (删除副本)

Amazon CLI

例 删除密钥

以下 delete-secret 示例将删除密钥。您可以使用 restore-secret 恢复机密,直到 DeletionDate 响应字段中的日期和时间。要删除复制到其他区域的密钥,请先使用 remove-regions-from-replication 删除其副本,然后调用 delete-secret

aws secretsmanager delete-secret \ --secret-id MyTestSecret \ --recovery-window-in-days 7
例 立即删除密钥

以下 delete-secret 示例将立即删除密钥而没有恢复时段。您无法恢复此密钥。

aws secretsmanager delete-secret \ --secret-id MyTestSecret \ --force-delete-without-recovery
例 删除副本密钥

以下 remove-regions-from-replication 示例将删除 eu-west-3 中的副本密钥。要删除复制到其他区域的主密钥,请先删除副本,然后调用 delete-secret

aws secretsmanager remove-regions-from-replication \ --secret-id MyTestSecret \ --remove-replica-regions eu-west-3

Amazon SDK

要删除密钥,请使用 DeleteSecret 命令。要删除密钥版本,请使用 UpdateSecretVersionStage 命令。要删除副本,请使用 StopReplicationToReplica 命令。有关更多信息,请参阅Amazon SDK