删除密 Amazon Secrets Manager 钥 - Amazon Secrets Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

删除密 Amazon Secrets Manager 钥

由于机密的关键性, Amazon Secrets Manager 故意使删除机密变得困难。Secrets Manager 不会立即删除密钥。而是Secrets Manager 会立即使这些密钥无法访问,并计划在恢复时段(最少 为 7 天)后删除这些密钥。在恢复时段结束后,您才能恢复以前删除的密钥。标记为已删除的密钥不收取任何费用。

如果已将主密钥复制到其他区域,则无法将其删除。首先删除副本,然后删除主密钥。在您删除副本时,该副本会被立即删除。

您无法直接删除某个密钥版本,相反,您可以使用 Amazon CLI 或 Amazon SDK 从版本中移除所有暂存标签。这会将该版本标记为已弃用,并允许 Secrets Manager 在后台自动删除该版本。

如果您不知道应用程序是否仍在使用密钥,则可以创建一个 Amazon CloudWatch 警报,提醒您在恢复时段内有人尝试访问密钥。有关更多信息,请参阅 监控计划删除的 Amazon Secrets Manager 密钥何时被访问

要删除密钥,您必须具有 secretsmanager:ListSecretssecretsmanager:DeleteSecret 权限。

当您删除密钥时,Secrets Manager 会生成一个 CloudTrail 日志条目。有关更多信息,请参阅 使用记录 Amazon Secrets Manager 事件 Amazon CloudTrail

删除密钥 (控制台)
  1. 通过 https://console.aws.amazon.com/secretsmanager/ 打开 Secrets Manager 控制台。

  2. 在密钥列表中,选择要删除的密钥。

  3. 密钥详细信息部分中,选择操作,然后选择编辑描述

  4. 禁用密钥和计划删除对话框中,在等待时间下,输入永久删除之前等待的天数。Secrets Manager 附加一个名为 DeletionDate 的字段,并将其设置为当前日期和时间加上为恢复时段指定的天数。

  5. 选择计划删除

查看已删除的密钥
  1. 打开 Secrets Manager 控制台,网址为 https://console.aws.amazon.com/secretsmanager/

  2. 密钥页面上,选择偏好 ( )。

  3. 在“首选项”对话框中,选择显示计划删除的密钥,然后选择保存

删除副本密钥
  1. 打开 Secrets Manager 控制台,网址为 https://console.aws.amazon.com/secretsmanager/

  2. 选择主密钥。

  3. 复制密钥密钥部分,选择副本密钥。

  4. Actions (操作) 菜单中选择 Delete Stack (删除副本)

Amazon CLI

例 删除密钥

以下 delete-secret 示例将删除密钥。您可以在 DeletionDate 响应字段中的日期和时间restore-secret之前恢复密钥。要删除复制到其他区域的密钥,请先使用 remove-regions-from-replication 删除其副本,然后调用 delete-secret

aws secretsmanager delete-secret \ --secret-id MyTestSecret \ --recovery-window-in-days 7
例 立即删除密钥

以下 delete-secret 示例将立即删除密钥而没有恢复时段。您无法恢复此密钥。

aws secretsmanager delete-secret \ --secret-id MyTestSecret \ --force-delete-without-recovery
例 删除副本密钥

以下 remove-regions-from-replication 示例将删除 eu-west-3 中的副本密钥。要删除复制到其他区域的主密钥,请先删除副本,然后调用 delete-secret

aws secretsmanager remove-regions-from-replication \ --secret-id MyTestSecret \ --remove-replica-regions eu-west-3

Amazon SDK

要删除密钥,请使用 DeleteSecret 命令。要删除密钥版本,请使用 UpdateSecretVersionStage 命令。要删除副本,请使用 StopReplicationToReplica 命令。有关更多信息,请参阅 Amazon 软件开发工具包