本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
配置主密钥和副本密钥
您必须先启用要在其中设置副本密钥的区域,然后才能配置多区域密钥。有关更多信息,请参阅管理 AWS 区域。
要在控制台中创建密钥,您必须具有以下权限:
-
SecretsManagerReadWrite AWS 托管策略授予的权限。
-
IAMFullAccess AWS 托管策略授予的权限 – 只有在您为密钥启用轮换时才是必需的。
-
kms:CreateKey
– 仅当您要创建Secrets Manager客户主密钥 (CMK) AWS KMS 时才需要。 -
kms:Encrypt
– 仅当您使用自定义 AWS KMS 密钥加密您的密钥(而不是使用您账户的默认 Secrets Manager CMK)时是必需的。您不需要具有该权限,即可使用 Secrets Manager 的账户默认 AWS 托管 CMK。 -
kms:Decrypt
– 仅当您使用创建的AWS KMS密钥加密您的密钥而不是您账户的默认 Secrets Manager CMK 时是必需的。您不需要具有该权限,即可使用 Secrets Manager 的账户默认 AWS 托管 CMK。 -
kms:GenerateDataKey
– 仅当您使用自定义 AWS KMS 密钥加密您的密钥(而不是使用您账户的默认 Secrets Manager CMK)时是必需的。您不需要具有该权限,即可使用 Secrets Manager 的账户默认 AWS 托管 CMK。