检索密钥值 - AWS Secrets Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

检索密钥值

Secrets Manager 允许您以编程方式安全地在自定义应用程序中检索密钥。不过,您也可以使用控制台或 CLI 工具检索密钥。

本节包含介绍如何检索密钥的密钥值的过程和命令。

检索密钥值

请按照以下选项卡之一中的步骤进行操作:

Using the Secrets Manager console
最小权限

要在控制台中检索密钥,您必须具有以下权限:

  • secretsmanager:ListSecrets – 用于导航到要检索的密钥。

  • secretsmanager:DescribeSecret — 用于检索密钥的未加密部分。

  • secretsmanager:GetSecretValue – 用于检索密钥的加密部分。

  • kms:Decrypt – 只有在使用自定义 AWS KMS 客户主密钥 (CMK) 加密您的密钥时,才需要该权限。

  1. https://console.amazonaws.cn/secretsmanager/ 打开 Secrets Manager 控制台。

  2. 从您的账户的密钥列表中,选择要查看的密钥的名称。

    此时将会显示 Secret details (密钥详细信息) 页。该页面显示选定的密钥的所有配置详细信息,但加密的密钥文本除外。

  3. 密钥值部分中,选择检索密钥值

  4. 选择 Secret key/value (密钥键/值) 以查看作为单个键和值解析的凭证。选择 Plaintext (明文) 以查看加密并存储的 JSON 文本字符串。

Using the AWS CLI or AWS SDK operations

您可以使用以下命令检索存储在 AWS Secrets Manager 中的密钥:

您必须通过友好名称或 Amazon 资源名称 (ARN) 标识密钥,并指定密钥的版本。如果未指定版本,则 Secrets Manager 默认使用具有 AWSCURRENT 暂存标签的版本。Secrets Manager 在 PlaintextString 响应参数中返回密钥文本内容;如果在密钥中存储任何二进制数据,则在 Plaintext 响应参数中返回密钥文本内容,这会返回一个字节数组。

以下示例 AWS CLI 命令解密名为“MyTestDatabase”的密钥的默认版本并从中检索加密密钥信息。Secrets Manager 为 CreatedDate 使用最后修改日期

$ aws secretsmanager get-secret-value --secret-id development/MyTestDatabase
{
    "ARN": "arn:aws-cn:secretsmanager:region:accountid:secret:development/MyTestDatabase-AbCdEf",
    "Name": "development/MyTestDatabase",
    "VersionId": "EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE",
    "SecretString": "{\"ServerName\":\"MyDBServer\",\"UserName\":\"Anaya\",\"Password\":\"MyT0pSecretP@ssw0rd\"}",
    "SecretVersionStages": [
        "AWSCURRENT"
    ],
    "CreatedDate": 1510089380.309
}