本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 删除密 Amazon Secrets Manager 钥
由于机密的关键性, Amazon Secrets Manager 故意使删除机密变得困难。Secrets Manager 不会立即删除密钥。而是Secrets Manager 会立即使这些密钥无法访问,并计划在恢复时段(最少 为 7 天)后删除这些密钥。在恢复时段结束后,您才能恢复以前删除的密钥。标记为已删除的密钥不收取任何费用。
如果已将主密钥复制到其他区域,则无法将其删除。首先删除副本,然后删除主密钥。在您删除副本时,该副本会被立即删除。
您无法直接删除某个密钥版本,相反,您可以使用 Amazon CLI 或 Amazon SDK 从版本中移除所有暂存标签。这会将该版本标记为已弃用,并允许 Secrets Manager 在后台自动删除该版本。
如果您不知道应用程序是否仍在使用密钥,则可以创建一个 Amazon CloudWatch 警报,提醒您在恢复时段内有人尝试访问密钥。有关更多信息,请参阅 [监控计划删除的 Amazon Secrets Manager 密钥何时被访问](monitoring_cloudwatch_deleted-secrets.md)。
要删除密钥,您必须具有 `secretsmanager:ListSecrets` 和 `secretsmanager:DeleteSecret` 权限。
当您删除密钥时,Secrets Manager 会生成一个 CloudTrail 日志条目。有关更多信息,请参阅 [使用记录 Amazon Secrets Manager 事件 Amazon CloudTrail](monitoring-cloudtrail.md)。
**删除密钥 (控制台)**
1. 打开 Secrets Manager 控制台,网址为[https://console.aws.amazon.com/secretsmanager/](https://console.amazonaws.cn/secretsmanager/)。
1. 在密钥列表中,选择要删除的密钥。
1. 在**密钥详细信息**部分中,选择**操作**,然后选择**编辑描述**。
1. 在**禁用密钥和计划删除**对话框中,在**等待时间**下,输入永久删除之前等待的天数。Secrets Manager 附加一个名为 `DeletionDate` 的字段,并将其设置为当前日期和时间加上为恢复时段指定的天数。
1. 选择**计划删除**。
**查看已删除的密钥**
1. 打开 Secrets Manager 控制台,网址为[https://console.aws.amazon.com/secretsmanager/](https://console.amazonaws.cn/secretsmanager/)。
1. 在**密钥**页面上,选择**偏好** (![\[Gear icon representing settings or configuration options.\]](http://docs.amazonaws.cn/secretsmanager/latest/userguide/images/preferences-gear.png))。
1. 在“首选项”对话框中,选择**显示计划删除的密钥**,然后选择**保存**。
**删除副本密钥**
1. 打开 Secrets Manager 控制台,网址为[https://console.aws.amazon.com/secretsmanager/](https://console.amazonaws.cn/secretsmanager/)。
1. 选择主密钥。
1. 在**复制密钥密钥**部分,选择副本密钥。
1. 从 **Actions (操作)** 菜单中选择 **Delete Stack (删除副本)**。
## Amazon CLI
**Example 删除密钥**
以下 [https://docs.amazonaws.cn//cli/latest/reference/secretsmanager/delete-secret.html](https://docs.amazonaws.cn//cli/latest/reference/secretsmanager/delete-secret.html) 示例将删除密钥。您可以在 DeletionDate 响应字段中的日期和时间[https://docs.amazonaws.cn//cli/latest/reference/secretsmanager/restore-secret.html](https://docs.amazonaws.cn//cli/latest/reference/secretsmanager/restore-secret.html)之前恢复密钥。要删除复制到其他区域的密钥,请先使用 [https://docs.amazonaws.cn//cli/latest/reference/secretsmanager/remove-regions-from-replication.html](https://docs.amazonaws.cn//cli/latest/reference/secretsmanager/remove-regions-from-replication.html) 删除其副本,然后调用 [https://docs.amazonaws.cn//cli/latest/reference/secretsmanager/delete-secret.html](https://docs.amazonaws.cn//cli/latest/reference/secretsmanager/delete-secret.html)。
```
aws secretsmanager delete-secret \
--secret-id MyTestSecret \
--recovery-window-in-days 7
```
**Example 立即删除密钥**
以下 [https://docs.amazonaws.cn//cli/latest/reference/secretsmanager/delete-secret.html](https://docs.amazonaws.cn//cli/latest/reference/secretsmanager/delete-secret.html) 示例将立即删除密钥而没有恢复时段。您无法恢复此密钥。
```
aws secretsmanager delete-secret \
--secret-id MyTestSecret \
--force-delete-without-recovery
```
**Example 删除副本密钥**
以下 [https://docs.amazonaws.cn//cli/latest/reference/secretsmanager/remove-regions-from-replication.html](https://docs.amazonaws.cn//cli/latest/reference/secretsmanager/remove-regions-from-replication.html) 示例将删除 eu-west-3 中的副本密钥。要删除复制到其他区域的主密钥,请先删除副本,然后调用 [https://docs.amazonaws.cn//cli/latest/reference/secretsmanager/delete-secret.html](https://docs.amazonaws.cn//cli/latest/reference/secretsmanager/delete-secret.html)。
```
aws secretsmanager remove-regions-from-replication \
--secret-id MyTestSecret \
--remove-replica-regions eu-west-3
```
## Amazon SDK
要删除密钥,请使用 [https://docs.amazonaws.cn/secretsmanager/latest/apireference/API_DeleteSecret.html](https://docs.amazonaws.cn/secretsmanager/latest/apireference/API_DeleteSecret.html) 命令。要删除密钥版本,请使用 [https://docs.amazonaws.cn/secretsmanager/latest/apireference/API_UpdateSecretVersionStage.html](https://docs.amazonaws.cn/secretsmanager/latest/apireference/API_UpdateSecretVersionStage.html) 命令。要删除副本,请使用 [https://docs.amazonaws.cn/secretsmanager/latest/apireference/API_StopReplicationToReplica.html](https://docs.amazonaws.cn/secretsmanager/latest/apireference/API_StopReplicationToReplica.html) 命令。有关更多信息,请参阅 [Amazon SDKs](asm_access.md#asm-sdks)。