本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
修改 Amazon Secrets Manager 密钥
您可以在创建密钥后修改其元数据,具体取决于密钥的创建者。对于由其他服务创建的密钥,您可能需要使用其他服务来更新或轮换它。
要确定谁管理密钥,您可以查看密钥名称。由其他服务管理的密钥以该服务的 ID 作为前缀。或者,在 Amazon CLI 中调用 describe-secret,然后查看字段 OwningService。有关更多信息,请参阅由其他 Amazon 服务托管的 Amazon Secrets Manager 密钥。
对于您管理的密钥,您可以修改密钥的描述、基于资源的策略、加密密钥和标记。您还可以更改加密密钥值信息,但我们建议您轮换更新包含凭证的密钥值。轮换会更新 Secrets Manager 中的密钥以及数据库或服务上的凭据。这会自动保持同步这些密钥,以便在客户端请求密钥值时,始终检索一组正常工作的凭证。有关更多信息,请参阅轮换 Amazon Secrets Manager 密钥。
当您修改密钥时,Secrets Manager 会生成 CloudTrail 日志条目。有关更多信息,请参阅使用 Amazon CloudTrail 记录 Amazon Secrets Manager 事件。
更新您管理的密钥(控制台)
通过 https://console.aws.amazon.com/secretsmanager/
打开 Secrets Manager 控制台。 -
从密钥列表上,选择您的密钥。
-
在密钥详细信息页面上,执行以下操作之一:
请注意,您无法更改 ARN 或密钥的名称。
-
要更新描述,在密钥详细信息部分中,选择操作,然后选择编辑描述。
-
要更新加密密钥,请参阅 更改密钥的加密 Amazon Secrets Manager 密钥。
-
要更新标签,请在标签选项卡中,选择编辑标签。请参阅标记 Amazon Secrets Manager 密钥。
-
要更新秘密值,请参阅 更新 Amazon Secrets Manager 秘密的值。
-
要更新密钥的权限,请在概述选项卡中选择编辑权限。请参阅将权限策略附加到 Amazon Secrets Manager 密钥。
-
要更新密钥的轮换,请在轮换选项中选择编辑轮换。请参阅轮换 Amazon Secrets Manager 密钥。
-
要将您的密钥复制到其他区域,请参阅 将密钥复制到其他区域。
-
如果您的密钥有副本,则您可以更改副本的加密密钥。在复制选项卡中,选择副本对应的单选按钮,然后在操作菜单中,选择编辑加密密钥。请参阅中的秘密加密和解密 Amazon Secrets Manager。
-
若要更改密钥以使其由其他服务管理,您需要在该服务中重新创建密钥。请参阅由其他服务管理的密钥。
-
Amazon CLI
例 更新密钥说明
以下 update-secret 示例将更新密钥的描述。
aws secretsmanager update-secret \ --secret-id MyTestSecret \ --description "This is a new description for the secret."
Amazon SDK
我们建议您避免调用 PutSecretValue 或者 UpdateSecret 以持续速度为每 10 分钟一次以上。如果调用 PutSecretValue 或 UpdateSecret 更新密钥值,Secrets Manager 将创建密钥的新版本。当版本超过 100 个时,Secrets Manager 会删除未标记的版本,但不会删除 24 小时内创建的版本。如果每 10 分钟更新一次密钥值,则创建的版本多于 Secrets Manager 删除的版本,将达到密钥版本的配额。
要更新秘密,请使用以下操作:UpdateSecret 或 ReplicateSecretToRegions。有关更多信息,请参阅Amazon 软件开发工具包。