Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Ändern Sie den Verschlüsselungsschlüssel für ein AWS Secrets Manager Geheimnis
Secrets Manager verwendet eine Umschlagverschlüsselung mit AWS KMS Schlüsseln und Datenschlüsseln, um jeden geheimen Wert zu schützen. Für jedes Secret können Sie wählen, welcher KMS-Schlüssel verwendet werden soll. Sie können den Von AWS verwalteter Schlüssel aws/secretsmanager oder einen vom Kunden verwalteten Schlüssel verwenden. In den meisten Fällen empfehlen wir die Nutzung von aws/secretsmanager und es fallen keine Kosten für die Nutzung an. Wenn Sie von einem anderen AWS-Konto auf den geheimen Schlüssel zugreifen müssen oder wenn Sie Ihren eigenen KMS-Schlüssel verwenden möchten, sodass Sie ihn rotieren oder eine Schlüsselrichtlinie darauf anwenden können, verwenden Sie einen. Kundenverwalteter Schlüssel Sie müssen Berechtigungen für den KMS-Schlüssel haben. Informationen zu den Kosten der Verwendung eines vom Kunden verwalteten Schlüssels finden Sie unter Preisgestaltung.
Sie können den Verschlüsselungscode für Ihr Secret ändern. Wenn Sie beispielsweise von einem anderen Konto aus auf das Geheimnis zugreifen möchten und das Geheimnis derzeit mit dem AWS verwalteten Schlüssel verschlüsselt istaws/secretsmanager
, können Sie zu einem wechseln Kundenverwalteter Schlüssel.
Tipp
Wenn Sie Ihren wechseln möchten Kundenverwalteter Schlüssel, empfehlen wir die AWS KMS automatische Schlüsselrotation. Weitere Informationen finden Sie unter AWS KMS Tasten drehen.
Wenn Sie den Verschlüsselungsschlüssel ändern, verschlüsselt Secrets Manager AWSCURRENT
AWSPENDING
, und AWSPREVIOUS
Versionen erneut mit dem neuen Schlüssel. Um zu verhindern, dass Sie aus dem Geheimnis ausgesperrt werden, speichert Secrets Manager alle vorhandenen Versionen mit dem vorherigen Schlüssel verschlüsselt. Das bedeutet AWSCURRENT
AWSPENDING
, dass Sie AWSPREVIOUS
Versionen mit dem vorherigen Schlüssel oder dem neuen Schlüssel entschlüsseln können.
Damit es nur mit dem neuen Verschlüsselungsschlüssel entschlüsselt werden AWSCURRENT
kann, erstellen Sie eine neue Version des Geheimnisses mit dem neuen Schlüssel. Um dann die AWSCURRENT
geheime Version entschlüsseln zu können, benötigen Sie die Erlaubnis für den neuen Schlüssel.
Wenn Sie den vorherigen Verschlüsselungsschlüssel deaktivieren, können Sie keine Secret-Versionen außer AWSCURRENT
, AWSPENDING
und AWSPREVIOUS
entschlüsseln. Wenn Sie über andere als Secret gekennzeichnete Versionen verfügen, auf die Sie weiterhin Zugriff haben möchten, müssen Sie diese Versionen mit dem neuen Verschlüsselungsschlüssel neu erstellen. Verwenden Sie dazu AWS CLI.
Informationen zum Ändern des Verschlüsselungsschlüssels für ein Secret (Konsole)
Öffnen Sie die Secrets-Manager-Konsole unter https://console.aws.amazon.com/secretsmanager/
. -
Wählen Sie aus der Liste der Secrets Ihr Secret aus.
-
Wählen Sie auf der Seite Secret details (Secret-Details) im Abschnitt Secrets details (Secret-Details) die Option Actions (Aktionen) und danach Edit encryption key (Verschlüsselungsschlüssel bearbeiten).
AWS CLI
Wenn Sie den Verschlüsselungsschlüssel für ein Secret ändern und dann den vorherigen Verschlüsselungsschlüssel deaktivieren, können Sie keine Secret-Versionen außer AWSCURRENT
, AWSPENDING
und AWSPREVIOUS
entschlüsseln. Wenn Sie über andere als Secret gekennzeichnete Versionen verfügen, auf die Sie weiterhin Zugriff haben möchten, müssen Sie diese Versionen mit dem neuen Verschlüsselungsschlüssel neu erstellen. Verwenden Sie dazu AWS CLI.
Informationen zum Ändern des Verschlüsselungsschlüssels für ein Secret (AWS CLI)
-
Im folgenden
update-secret
-Beispiel wird der KMS-Schlüssel aktualisiert, der zum Verschlüsseln des Secret-Werts verwendet wird. Der KMS-Schlüssel muss sich in derselben Region wie das Secret befinden.aws secretsmanager update-secret \ --secret-id MyTestSecret \ --kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE
-
(Optional) Wenn Sie geheime Versionen mit benutzerdefinierten Bezeichnungen haben, müssen Sie diese Versionen neu erstellen, um sie mit dem neuen Schlüssel erneut zu verschlüsseln.
Wenn Sie Befehle in eine Befehls-Shell eingeben, besteht die Gefahr, dass auf den Befehlsverlauf zugegriffen wird oder Serviceprogramme Zugriff auf Ihre Befehlsparameter haben. Siehe Reduzieren von Risiken durch die Verwendung der AWS CLI zur Speicherung Ihrer AWS Secrets Manager-Secrets.
-
Ermittelt den Wert der Secret-Version.
aws secretsmanager get-secret-value \ --secret-id MyTestSecret \ --version-stage MyCustomLabel
Notieren Sie sich den Secret-Wert.
-
Erstellen Sie eine neue Version mit diesem Wert.
aws secretsmanager put-secret-value \ --secret-id testDescriptionUpdate \ --secret-string "SecretValue" \ --version-stages "MyCustomLabel"
-