跨区域复制 Amazon Secrets Manager 密钥 - Amazon Secrets Manager
Amazon CLIAmazon SDK
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

跨区域复制 Amazon Secrets Manager 密钥

您可以将您的密钥分成多个复制 Amazon Web Services 区域 ,以支持分布在这些地区的应用程序,从而满足区域访问和低延迟要求。如果以后需要,可以将副本密钥提升为独立密钥,然后将其设置为独立复制。Secrets Manager 可以跨指定区域复制加密密钥数据和元数据,例如标签和资源策略。

除区域外,副本密钥的 ARN 与主密钥相同,例如:

  • 主密钥:arn:aws:secretsmanager:Region1:123456789012:secret:MySecret-a1b2c3

  • 副本密钥:arn:aws:secretsmanager:Region2:123456789012:secret:MySecret-a1b2c3

有关副本密钥的定价信息,请参阅 Amazon Secrets Manager 定价

当存储复制到其他区域的源数据库的数据库凭证时,密钥将包含源数据库的连接信息。然后复制密钥时,副本将是源密钥的副本,并且包含相同的连接信息。您可以在密钥中添加其他键值对以记录区域连接信息。

如果您为主密钥启用轮换,Secrets Manager 将在主区域中进行密钥轮换,新的密钥值会传播到所有关联的副本密钥。您无需单独管理所有副本密钥的轮换。

您可以在所有已启用的 Amazon 区域中复制密钥。但是,如果您在特殊 Amazon 区域(例如 Amazon GovCloud (US) 或中国区域)使用 Secrets Manager,则只能在这些特殊 Amazon 区域内配置密钥和副本。您不能将已启用 Amazon 区域中的密钥复制到专门区域,也不能将机密从专业区域复制到商业区域。

在将密钥复制到另一个区域之前,您必须启用该区域。有关更多信息,请参阅管理 Amazon 区域

通过调用存储密钥的区域中的 Secrets Manager 端点,则无需复制密钥即可在多个区域中使用密钥。有关 终端节点的列表,请参阅Amazon Secrets Manager 端点。要使用复制来提高工作负载的弹性,请参阅第一部分:云端恢复策略中的灾难恢复 (DR) 架构。 Amazon

当你复制密钥时,Secrets Manager 会生成一个 CloudTrail 日志条目。有关更多信息,请参阅 使用记录 Amazon Secrets Manager 事件 Amazon CloudTrail

要将密钥复制到其他地区(控制台)

  1. 通过 https://console.aws.amazon.com/secretsmanager/ 打开 Secrets Manager 控制台。

  2. 从密钥列表上,选择您的密钥。

  3. 在密钥详细信息页面的复制选项卡中,执行以下任意一项操作:

    • 如果未复制密钥,请选择 Replicate secret(复制密钥)。

    • 如果已复制密钥,请在 Replicate secret(复制密钥)部分,选择 Add Region(添加区域)。

  4. Add replica regions 对话框中,执行以下操作:

    1. 针对 Amazon 区域,请选择要将密钥复制粘贴的区域。

    2. (可选)对于加密密钥中,选择用来加密密钥的 KMS 密钥。密钥必须位于副本区域中。

    3. (可选)要添加其他区域,请选择 Add more regions(添加更多区域)。

    4. 选择 Replicate(复制)。

    此时会返回到密钥详细信息页面。Replicate secret(复制密钥)部分会显示每个区域的 Replication status(复制状态)。

Amazon CLI

例 将密钥复制到其他区域

以下 replicate-secret-to-regions 示例将密钥复制到 eu-west-3。副本使用 Amazon 托管密钥 aws/secretsmanager 进行加密。

aws secretsmanager replicate-secret-to-regions \
        --secret-id MyTestSecret \
        --add-replica-regions Region=eu-west-3
例 创建密钥并复制它

以下示例创建了一个密钥并将其复制到 eu-west-3。副本使用 Amazon 托管密钥 aws/secretsmanager 进行加密。

aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
    --add-replica-regions Region=eu-west-3

Amazon SDK

要复制密钥,请使用 ReplicateSecretToRegions 命令。有关更多信息,请参阅 Amazon 软件开发工具包