将副本密钥升级为 Amazon Secrets Manager 中的独立密钥 - Amazon Secrets Manager
Amazon CLIAmazon SDK
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将副本密钥升级为 Amazon Secrets Manager 中的独立密钥

副本密钥是从另一个 Amazon Web Services 区域 中的主密钥复制而来的密钥。它具有与主密钥相同的密钥值和元数据,但对它的加密可以使用不同的 KMS 密钥。不能独立于主密钥更新副本密钥,但其加密密钥除外。副本密钥升级会断开副本密钥与主密钥的连接,并使副本机密成为独立密钥。对主密钥的更改不会复制到独立密钥。

在主密钥不可用的情况下,您可能希望将副本密钥升级为独立密钥,以此作为灾难恢复解决方案。或者,如果要为副本密钥启用轮换,您可能需要将副本密钥升级为独立密钥。

如您升级副本密钥,请务必更新相应的应用程序来使用独立密钥。

当您提升密钥时,Secrets Manager 会生成 CloudTrail 日志条目。有关更多信息,请参阅使用 Amazon CloudTrail 记录 Amazon Secrets Manager 事件

升级副本密钥(控制台)

  1. 登录到 Secrets Manager https://console.aws.amazon.com/secretsmanager/

  2. 导航至副本区域。

  3. Secrets(密钥)列表页上,选择副本密钥。

  4. 在副本密钥详细信息页面上,选择 Promote to standalone secret(升级为独立密钥)。

  5. Promote replica to standalone secret(将副本升级为独立密钥)对话框中,输入区域,然后选择 Promote replica(提升副本)。

Amazon CLI

例 将副本密钥提升为主密钥

以下 stop-replication-to-replica 示例将删除副本密钥与主密钥之间的链接。副本密钥在副本区域中被提升为主密钥。您必须从副本区域内调用 stop-replication-to-replica

aws secretsmanager stop-replication-to-replica \
    --secret-id MyTestSecret

Amazon SDK

要将副本密钥升级为独立密钥,请使用 StopReplicationToReplica 命令。您必须从副本密钥区域调用此命令。有关更多信息,请参阅Amazon 软件开发工具包