配置主密钥和副本密钥 - AWS Secrets Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置主密钥和副本密钥

您必须先启用要在其中设置副本密钥的区域,然后才能配置多区域密钥。有关更多信息,请参阅管理 AWS 区域。

最小权限

要在控制台中创建密钥,您必须具有以下权限:

  • SecretsManagerReadWrite AWS 托管策略授予的权限。

  • IAMFullAccess AWS 托管策略授予的权限 – 只有在您为密钥启用轮换时才是必需的。

  • kms:CreateKey – 仅当您要创建Secrets Manager客户主密钥 (CMK) AWS KMS 时才需要。

  • kms:Encrypt – 仅当您使用自定义 AWS KMS 密钥加密您的密钥(而不是使用您账户的默认 Secrets Manager CMK)时是必需的。您不需要具有该权限,即可使用 Secrets Manager 的账户默认 AWS 托管 CMK。

  • kms:Decrypt – 仅当您使用创建的AWS KMS密钥加密您的密钥而不是您账户的默认 Secrets Manager CMK 时是必需的。您不需要具有该权限,即可使用 Secrets Manager 的账户默认 AWS 托管 CMK。

  • kms:GenerateDataKey – 仅当您使用自定义 AWS KMS 密钥加密您的密钥(而不是使用您账户的默认 Secrets Manager CMK)时是必需的。您不需要具有该权限,即可使用 Secrets Manager 的账户默认 AWS 托管 CMK。

Using the Secrets Manager console

  1. 在 登录 Secrets Manager https://console.amazonaws.cn/secretsmanager/

  2. 选择存储新密钥

  3. 选择密钥类型。

  4. 输入密钥类型的相应凭证。

  5. Select the encryption key (选择加密密钥) 列表中选择 DefaultEncryptionKey

  6. 如果您选择数据库密钥,请选择数据库实例。

  7. 选择 Next

  8. 在密钥名称中输入密钥的名称

  9. (可选)在 Description (描述) 字段中输入描述,最多 250 个字符。

  10. (可选)输入标签作为 Key (键) 和 Value - optional (值 - 可选)。

  11. Replicate Secret - optional (复制密钥 - 可选) 下,选择 Replicate secret to other regions (将密钥复制到其他区域)。

  12. AWS 区域列表中,选择一个或多个区域以复制密钥。在此步骤中,您可以添加多个区域。

  13. Encryption Key (加密密钥) 列表中,选择用于加密密钥的密钥。您可以选择默认加密密钥或区域 CMK。

  14. 要添加更多区域,请选择 Add more Regions (添加更多区域),然后选择其他区域和加密密钥。

    您必须先启用区域,然后才能从列表中选择该区域。

  15. 选择 Next

  16. 选择 Disable rotation (禁用轮换)。

    您可以复制主密钥,而无需为其配置轮换。

    如果要轮换密钥,请选择 Enable Rotation (启用轮换) 并添加用于轮换密钥的相应信息。

  17. 选择 Next

  18. 检查设置。您已启用密钥复制,并且 可以查看 副本区域列表以及分配给每个 副本区域的加密密钥

  19. 选择 Create Secret 创建密钥)。

创建密钥后,您可以在密钥页面上查看您的密钥。控制台顶部的横幅指示您是否已成功创建密钥。

如果复制失败, Secrets Manager 将显示一个红色横幅,其中包含失败原因。选择 View Details (查看详细信息)。有关更多信息,请参阅重试复制

Using the AWS CLI or AWS SDK operations

您可以使用以下命令创建密钥并配置副本密钥:

执行与基于控制台的密钥副本配置等效的 AWS CLI 命令的示例。此命令假定您在 中创建密钥美国西部(俄勒冈)并希望将其复制到 美国东部(弗吉尼亚北部)。


$ aws secretsmanager create-secret --name production/DBWest --add-replica-regions kmskeyid 1234abcd-12ab-34cd-56ef-1234567890ab region us-east-1

如果复制失败,请参阅重试复制以了解更多信息。