本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
由其他 Amazon 服务托管的 Amazon Secrets Manager 密钥
许多 Amazon 服务在 Amazon Secrets Manager 中存储和使用密钥。在某些情况下,这些密钥是托管密钥,这意味着创建这些密钥的服务可以帮助管理它们。例如,一些托管密钥包括托管轮换,因此您不必自己配置轮换。托管服务还可能限制您在没有恢复期的情况下更新密钥或删除它们,这有助于防止中断,因为托管服务依赖于密钥。
托管密钥使用包括管理服务 ID 的命名约定来帮助识别它们。
Secret name: ServiceID!MySecret Secret ARN : arn:aws:us-east-1:ServiceID!MySecret-a1b2c3
管理密钥的服务的 ID
appflow– Amazon AppFlowdatabrew– Amazon Glue DataBrewdatasync– Amazon DataSyncdirectconnect– Amazon Direct Connectecs-sc– Amazon Elastic Container Serviceevents– Amazon EventBridgemarketplace-deployment– Amazon Web Services Marketplaceopsworks-cm– Amazon OpsWorks for Chef Automaterds– Amazon RDS 和 Auroraredshift– Amazon Redshiftsqlworkbench– Amazon Redshift 查询编辑器 v2
要查找由其他 Amazon 服务管理的密钥,请参阅查找托管密钥。
有关使用密钥的服务的完整列表,请参阅Amazon 使用 Amazon Secrets Manager 机密的服务。
Amazon AppFlow
在 Amazon 中 AppFlow,当您将一个 SaaS 应用程序配置为源或目标时,您就创建了一个连接。这包括连接到 SaaS 应用程序所需的信息,例如身份验证令牌、用户名和密码。亚马逊将您的连接数据 AppFlow 存储在带前缀的 Secrets Manager 托管密钥中appflow。存储密钥的费用已包含在亚马逊的费用中 AppFlow。有关更多信息,请参阅亚马逊 AppFlow 用户指南 AppFlow中的亚马逊数据保护。
Amazon Glue DataBrew
Amazon Glue DataBrew 提供 DETERMINISTIC_DECRYPT、DETERMINISTIC_ENCRYPT 和 CRYPTOGRAPHIC_HASH 配方步骤来转换数据集中的个人身份信息(PII),该数据集使用存储在 Secrets Manager 密钥中的加密密钥。如果您使用 DataBrew 默认密钥来存储加密密钥,则 DataBrew 会创建一个带有前缀的托管密钥databrew。存储密钥的费用包含在使用费用中 DataBrew。
Amazon DataSync
为了收集有关本地存储系统的信息,Amazon DataSyncDiscovery 使用存储系统管理界面的凭据。 DataSync 将这些凭据存储在带前缀的 Secrets Manager 托管密钥中datasync。您需要为此密钥支付费用。有关更多信息,请参阅Amazon DataSync用户指南中的将本地存储系统添加到 DataSync Discovery。
Amazon Direct Connect
Amazon Direct Connect 将连接关联密钥名称和连接关联密钥对(CKN/CAK 对)存储在带有前缀 directconnect 的托管密钥中。密钥的成本包含在 Amazon Direct Connect 的费用中。要更新此密钥,您必须使用 Amazon Direct Connect 而非 Secrets Manager。有关更多信息,请参阅 Amazon Direct Connect 用户指南中的将 MACsec CKN/CAK 与 LAG 关联。
Amazon Elastic Container Service
当你使用 Amazon ECS Service Connect 时,亚马逊 ECS 使用 Secrets Manager 密钥来存储 Amazon Private Certificate Authority TLS 证书。存储密钥的费用包含在 Amazon ECS 的费用中。要更新密钥,您必须使用 Amazon ECS 而不是 Secrets Manager。有关更多信息,请参阅《亚马逊弹性容器服务开发者指南》中的带有 Service Connect 的 TLS。
Amazon EventBridge
当您创建 Amazon EventBridge API 目标时,会将其连接 EventBridge 存储在带有前缀的 Secrets Manager 托管密钥中events。存储此密钥的成本包含在使用 API 目标的费用中。要更新此密钥,您必须使用 EventBridge 而非 Secrets Manager。有关更多信息,请参阅 Amazon EventBridge 用户指南中的 API 目的地。
Amazon Web Services Marketplace
当您使用 Amazon Web Services Marketplace Quick Launch 时,Amazon Web Services Marketplace 会将您的软件与许可证密钥一起分发。Amazon Web Services Marketplace 会将许可证密钥作为 Secrets Manager 托管秘密存储在您的账户中。存储秘密的成本包含在 Amazon Web Services Marketplace 的费用中。要更新此密钥,您必须使用 Amazon Web Services Marketplace 而非 Secrets Manager。有关更多信息,请参阅《Amazon Web Services Marketplace 卖家指南》中的配置 Quick Launch。
Amazon OpsWorks for Chef Automate
当您在中创建新服务器时Amazon OpsWorks CM, OpsWorks CM 会将服务器的信息存储在 Secrets Manager 托管密钥中,前缀为前缀opsworks-cm。此密钥的成本包含在 Amazon OpsWorks 的费用中。有关更多信息,请参阅 Amazon OpsWorks 用户指南中的集成 Amazon Secrets Manager。
Amazon RDS 和 Aurora
要管理包括 Aurora 在内的 Amazon Relational Database Service(Amazon RDS)的主用户凭证,Amazon RDS 可以为您创建托管密钥。您需要为此密钥支付费用。Amazon RDS 还管理这些凭证的轮换。有关更多信息,请参阅《Amazon RDS 用户指南》中的使用 Amazon RDS 和 Amazon Secrets Manager 管理密码和《Amazon Aurora 用户指南》中的使用 Amazon Aurora 和 Amazon Secrets Manager 管理密码。
有关其他 Amazon RDS 凭证,请参阅 创建 Amazon Secrets Manager 数据库密钥。
Amazon Redshift
要管理 Amazon Redshift 的管理员凭证,Amazon Redshift 可以为您创建托管秘密。您需要为此密钥支付费用。Amazon Redshift 还管理这些凭证的轮换。有关更多信息,请参阅《Amazon Redshift 管理指南》中的使用 Amazon Secrets Manager 管理 Amazon Redshift 管理员密码。
有关其他 Amazon Redshift 凭证,请参阅 创建 Amazon Secrets Manager 数据库密钥。要在调用数据 API 时对凭证使用秘密,请参阅使用 Amazon Redshift 数据 API。要在使用 Amazon Redshift 查询编辑器连接到数据库时使用秘密,请参阅《Amazon Redshift 管理指南》中的使用查询编辑器查询数据库和 Amazon Redshift 查询编辑器 v2。
Amazon Redshift 查询编辑器 v2
使用 Amazon Redshift 查询编辑器 v2 连接到数据库时,Amazon Redshift 可将您的凭证存储在带有前缀 sqlworkbench 的 Secrets Manager 托管密钥中。存储此密钥的成本包含在使用 Amazon Redshift 的费用中。要更新此密钥,您必须使用 Amazon Redshift 而非 Secrets Manager。有关更多信息,请参阅《Amazon Redshift 管理指南》中的 使用查询编辑器 v2。