Prerequisites 步骤 1：在 AWS Secrets Manager 中创建并存储密钥

教程：创建和检索密钥

在本教程中，您将创建一个密钥并将其存储在 AWS Secrets Manager 中。然后，您可以使用 AWS 管理控制台或 AWS CLI 检索密钥。

初次使用 Secrets Manager 的用户可以从在 30 天的免费试用中注册中获益，并且不会收到本教程中执行的活动的账单。

步骤 1：在 AWS Secrets Manager 中创建并存储密钥: 在此步骤中，您创建一个密钥并提供 AWS Secrets Manager 所需的基本信息。
步骤 2：从 AWS Secrets Manager 检索密钥: 接下来，您使用 Secrets Manager 控制台和 AWS CLI 检索密钥。

Prerequisites

本教程假定您可以访问 AWS 账户，并且可以作为有权在 AWS Secrets Manager 控制台中创建和检索密钥的 IAM 用户登录到 AWS，或者在 AWS CLI 中执行等效的命令。有关配置 IAM 用户的更多信息，请参阅 IAM 文档。

步骤 1：在 AWS Secrets Manager 中创建并存储密钥

Secrets Manager Console

从控制台创建和存储密钥

登录到 AWS Secrets Manager 控制台 (https://console.amazonaws.cn/secretsmanager/)。
在服务介绍页面或 Secrets （密钥） 列表页面上，选择 Store a new secret （存储新密钥）。
在存储新密钥页上，选择其他密钥类型。由于您的密钥不适用于数据库，请选择这种类型的密钥。
在 Specify key/value pairs to be stored in the secret （指定要存储在密钥中的键/值对） 下，在第一个字段中，键入 MyFirstSecret。要配置密码，请在下一个字段中添加一个值。

您提供密钥信息，例如凭证和连接详细信息，作为键名称和值字符串对。例如，您可以指定“UserName”作为键名，并指定用户登录名称作为值。
对于 Select the encryption key （选择加密密钥），选择 DefaultEncryptionKey。Secrets Manager 始终在您选择此选项时对密钥进行加密，会向您免费提供。如果您选择使用自定义 KMS 密钥，则 AWS 按标准 AWS KMS 费率对您收费。

Secrets Manager 使用驻留在账户中的唯一加密密钥，并且只能与同一区域中的 Secrets Manager 一起使用。
选择 Next (下一步)。
在 Secret name (密钥名称) 下，在文本字段中键入密钥的名称。您必须仅使用字母数字字符和字符 /_+=.@-。

例如，您可以使用密钥名称，如 tutorials/MyFirstSecret。这会将您的密钥存储在虚拟文件夹 tutorials 中，其值为 MyFirstSecret。我们建议以分层方式命名密钥，这可让您更轻松地管理密钥。
在 Description (描述) 字段中键入规则的说明。

对于 Description (描述)，例如可键入 Create Secret
在 Tags (标签) 部分，在 Key (键) 和 Value - optional (值 - 可选) 文本字段中添加所需的标签。

在本教程中，您可以将标签留空。但是，作为最佳实践，我们建议使用标签来帮助识别密钥。
选择 Next (下一步)。
在本教程中，选择 Disable automatic rotation (禁用自动轮换)，然后选择 Next (下一步)。

注意

下一个教程将介绍轮换密钥。
在 Review (审核) 页面上，您可以检查密钥设置。另外，请务必查看示例代码部分，其中包含可添加到您自己的应用程序的启用了剪切并粘贴的代码，并使用该密钥检索凭证。–每个选项卡显示使用不同编程语言的代码。
要保存更改，请选择 Store (存储)。

Secrets Manager 控制台将返回您的账户中的密钥列表，并且在列表中现在包含新的密钥。

Secrets Manager CLI

打开命令提示符以运行 AWS CLI。如果您尚未安装 AWS CLI，请参阅安装 AWS Command Line Interface。

创建密钥

键入以下命令和参数：


$ aws secretsmanager create-secret --name tutorials/MyFirstSecret 
          --description "Basic Create Secret" --secret-string S3@tt13R0cks

命令的输出显示以下信息：



{
    "ARN": "arn:aws:secretsmanager:us-west-2:123456789012:secret:tutorials/MyFirstSecret-rzM8Ja",
    "Name": "MyFirstSecret",
    "VersionId": "35e07aa2-684d-42fd-b076-3b3f6a19c6dc"
}

步骤 2：从 AWS Secrets Manager 检索密钥

在该步骤中，您使用 Secrets Manager 控制台和 AWS CLI 检索密钥。

在 AWS Secrets Manager 控制台中检索密钥

如果尚未登录到控制台，请转到位于 https://console.amazonaws.cn/secretsmanager/ 的控制台并登录 Secrets Manager 服务。
在 Secrets (密钥) 列表页面上，选择您创建的密钥的名称。

Secrets Manager 显示您的密钥的 Secrets details (密钥详细信息) 页面。
在密钥值部分中，选择检索密钥值。
您可以按键/值对或 JSON 文本结构形式查看您的密钥。

使用 AWS Secrets Manager CLI 检索密钥

打开命令提示符以运行 AWS CLI。如果您尚未安装 AWS CLI，请参阅安装 AWS Command Line Interface。

通过使用有权访问您的密钥的凭证，键入下面的命令和参数。

查看密钥的所有详细信息，但加密文本除外：


$ aws secretsmanager describe-secret --secret-id tutorials/MyFirstSecret
{
    "ARN": "arn:aws-cn:secretsmanager:region:123456789012:secret:tutorials/MyFirstSecret-jiObOV",
    "Name": "tutorials/MyFirstSecret",
    "Description": "Basic Create Secret",
    "LastChangedDate": 1522680794.8,
    "LastAccessedDate": 1522627200.0,
    "VersionIdsToStages": {
        "EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE": [
            "AWSCURRENT"
        ]
    }
}

查看 VersionIdsToStages 响应值。输出包含密钥的所有活动版本以及附加到每个版本的暂存标签的列表。在本教程中，您将会看到单一版本 ID（UUID 类型值）映射到单个 AWSCURRENT 暂存标签。

查看密钥中的加密文本：


$ aws secretsmanager get-secret-value --secret-id tutorials/MyFirstSecret --version-stage AWSCURRENT
{
    "ARN": "arn;secretsmanager:region:123456789012:secret:tutorials/MyFirstSecret-jiObOV",
    "Name": "tutorials/MyFirstSecret",
    "VersionId": "EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE",
    "SecretString": "S3@ttl3R0cks",
    "VersionStages": [
        "AWSCURRENT"
    ],
    "CreatedDate": 1522680764.668
}

如果您需要具有不同于 --version-stage 的暂存标签的版本的详细信息，则必须在上一个命令中包含 AWSCURRENT 参数。Secrets Manager 将 AWSCURRENT 作为默认值。

输出的剩余部分在 SecretString 响应字段中包含 JSON 版本的密钥值。

Summary

本教程演示了如何可以轻松创建简单密钥，并在需要时检索密钥值。有关创建密钥和配置自动轮换的另一个教程，请参阅教程: 为 AWS 数据库。

Javascript 在您的浏览器中被禁用或不可用。

要使用 AWS 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

教程

教程: 为 AWS 数据库