本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
正在检索密钥值
Secrets Manager 允许您以编程方式安全地在自定义应用程序中检索密钥。不过,您也可以使用控制台或 CLI 工具检索密钥。
本节包含介绍如何检索密钥的密钥值的过程和命令。
检索密钥值
请按照以下选项卡之一中的步骤进行操作:
- Using the Secrets Manager console
-
最小权限 要在控制台中检索密钥,您必须具有以下权限:
-
secretsmanager:ListSecrets
– 用于导航到要检索的密钥。 -
secretsmanager:DescribeSecret
— 用于检索密钥的未加密部分。 -
secretsmanager:GetSecretValue
– 用于检索密钥的加密部分。 -
kms:Decrypt
– 只有在使用自定义 AWS KMS 客户主密钥 (CMK) 加密您的密钥时,才需要该权限。
-
从 https://console.amazonaws.cn/secretsmanager/
打开 Secrets Manager 控制台。 -
从您的账户的密钥列表中,选择要查看的密钥的名称。
此时将会显示 Secret details (密钥详细信息) 页。该页面显示选定的密钥的所有配置详细信息,但加密的密钥文本除外。
-
在密钥值部分中,选择检索密钥值。
-
选择 Secret key/value (密钥键/值) 以查看作为单个键和值解析的凭证。选择 Plaintext (明文) 以查看加密并存储的 JSON 文本字符串。
-
- Using the AWS CLI or AWS SDK operations
-
您可以使用以下命令检索存储在 AWS Secrets Manager 中的密钥:
-
API/开发工具包:
GetSecretValue
-
AWS CLI:
get-secret-value
您必须通过友好名称或 Amazon 资源名称 (ARN) 标识密钥,并指定密钥的版本。如果未指定版本,则 Secrets Manager 默认使用具有
AWSCURRENT
暂存标签的版本。Secrets Manager 在PlaintextString
响应参数中返回密钥文本内容;如果在密钥中存储任何二进制数据,则在Plaintext
响应参数中返回密钥文本内容,这会返回一个字节数组。以下示例 AWS CLI 命令解密名为“MyTestDatabase”的密钥的默认版本并从中检索加密密钥信息。Secrets Manager 为
CreatedDate
使用最后修改日期。$
aws secretsmanager get-secret-value --secret-id development/MyTestDatabase
{ "ARN": "arn:aws-cn:secretsmanager:
region
:accountid
:secret:development/MyTestDatabase-AbCdEf
", "Name": "development/MyTestDatabase", "VersionId": "EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE", "SecretString": "{\"ServerName\":\"MyDBServer\",\"UserName\":\"Anaya\",\"Password\":\"MyT0pSecretP@ssw0rd\"}", "SecretVersionStages": [ "AWSCURRENT" ], "CreatedDate": 1510089380.309 } -