Ändern Sie den Verschlüsselungsschlüssel für eine AWS Secrets Manager Secret - AWS Secrets Manager
AWS CLI

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ändern Sie den Verschlüsselungsschlüssel für eine AWS Secrets Manager Secret

Secrets Manager verwendet Umschlagverschlüsselung mit AWS KMS Schlüssel und Datenschlüssel zum Schutz der einzelnen geheimen Werte. Für jedes Geheimnis können Sie wählen, welcher KMS Schlüssel verwendet werden soll. Sie können das Von AWS verwalteter Schlüssel aws/secretsmanager, oder Sie können einen vom Kunden verwalteten Schlüssel verwenden. In den meisten Fällen empfehlen wir die Nutzung von aws/secretsmanager und es fallen keine Kosten für die Nutzung an. Wenn Sie von einem anderen aus auf das Geheimnis zugreifen müssen AWS-Konto, oder wenn Sie Ihren eigenen KMS Schlüssel verwenden möchten, sodass Sie ihn rotieren oder eine Schlüsselrichtlinie darauf anwenden können, verwenden Sie einen Kundenverwalteter Schlüssel. Das musst du habenBerechtigungen für den Schlüssel KMS. Informationen zu den Kosten der Verwendung eines vom Kunden verwalteten Schlüssels finden Sie unter Preisgestaltung.

Sie können den Verschlüsselungscode für Ihr Secret ändern. Wenn Sie beispielsweise von einem anderen Konto aus auf das Geheimnis zugreifen möchten und das Geheimnis derzeit mit dem verschlüsselt ist AWS Sie können zu einem verwalteten Schlüssel aws/secretsmanager wechseln Kundenverwalteter Schlüssel.

Tipp

Wenn Sie Ihre rotieren möchten Kundenverwalteter Schlüssel, wir empfehlen die Verwendung AWS KMS automatische Schlüsselrotation. Weitere Informationen finden Sie unter Rotieren AWS KMS Schlüssel.

Wenn Sie den Verschlüsselungsschlüssel ändern, verschlüsselt Secrets Manager AWSCURRENTAWSPENDING, und AWSPREVIOUS Versionen erneut mit dem neuen Schlüssel. Um zu verhindern, dass Sie aus dem Geheimnis ausgesperrt werden, speichert Secrets Manager alle vorhandenen Versionen mit dem vorherigen Schlüssel verschlüsselt. Das bedeutet AWSCURRENTAWSPENDING, dass Sie AWSPREVIOUS Versionen mit dem vorherigen Schlüssel oder dem neuen Schlüssel entschlüsseln können. Wenn Sie keine kms:Decrypt Rechte für den vorherigen Schlüssel haben, kann Secrets Manager beim Ändern des Verschlüsselungsschlüssels die geheimen Versionen nicht entschlüsseln, um sie erneut zu verschlüsseln. In diesem Fall werden die vorhandenen Versionen nicht erneut verschlüsselt.

Damit es nur mit dem neuen Verschlüsselungsschlüssel entschlüsselt werden AWSCURRENT kann, erstellen Sie eine neue Version des Geheimnisses mit dem neuen Schlüssel. Um dann die AWSCURRENT geheime Version entschlüsseln zu können, benötigen Sie die Erlaubnis für den neuen Schlüssel.

Wenn Sie den vorherigen Verschlüsselungsschlüssel deaktivieren, können Sie keine Secret-Versionen außer AWSCURRENT, AWSPENDING und AWSPREVIOUS entschlüsseln. Wenn Sie über andere als Secret gekennzeichnete Versionen verfügen, auf die Sie weiterhin Zugriff haben möchten, müssen Sie diese Versionen mit dem neuen Verschlüsselungsschlüssel neu erstellen. Verwenden Sie dazu AWS CLI.

Informationen zum Ändern des Verschlüsselungsschlüssels für ein Secret (Konsole)

  1. Öffnen Sie die Secrets Manager Manager-Konsole unter https://console.aws.amazon.com/secretsmanager/.

  2. Wählen Sie aus der Liste der Secrets Ihr Secret aus.

  3. Wählen Sie auf der Seite Secret details (Secret-Details) im Abschnitt Secrets details (Secret-Details) die Option Actions (Aktionen) und danach Edit encryption key (Verschlüsselungsschlüssel bearbeiten).

AWS CLI

Wenn Sie den Verschlüsselungsschlüssel für ein Secret ändern und dann den vorherigen Verschlüsselungsschlüssel deaktivieren, können Sie keine Secret-Versionen außer AWSCURRENT, AWSPENDING und AWSPREVIOUS entschlüsseln. Wenn Sie über andere als Secret gekennzeichnete Versionen verfügen, auf die Sie weiterhin Zugriff haben möchten, müssen Sie diese Versionen mit dem neuen Verschlüsselungsschlüssel neu erstellen. Verwenden Sie dazu AWS CLI.

Um den Verschlüsselungsschlüssel für ein Geheimnis zu ändern (AWS CLI)

  1. Im folgenden update-secretBeispiel wird der KMS Schlüssel aktualisiert, der zum Verschlüsseln des geheimen Werts verwendet wurde. Der KMS Schlüssel muss sich in derselben Region wie der geheime Schlüssel befinden.

    aws secretsmanager update-secret \
      --secret-id MyTestSecret \
      --kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE

  2. (Optional) Wenn Sie geheime Versionen mit benutzerdefinierten Bezeichnungen haben, müssen Sie diese Versionen neu erstellen, um sie mit dem neuen Schlüssel erneut zu verschlüsseln.

    Wenn Sie Befehle in eine Befehls-Shell eingeben, besteht die Gefahr, dass auf den Befehlsverlauf zugegriffen wird oder Serviceprogramme Zugriff auf Ihre Befehlsparameter haben. Siehe Reduzieren Sie die Risiken, die mit der Verwendung von AWS CLI zur Aufbewahrung Ihrer AWS Secrets Manager Geheimnisse verbunden sind.

    1. Ermittelt den Wert der Secret-Version.

      aws secretsmanager get-secret-value \
      --secret-id MyTestSecret \
      --version-stage MyCustomLabel

      Notieren Sie sich den Secret-Wert.

    2. Erstellen Sie eine neue Version mit diesem Wert.

      aws secretsmanager put-secret-value \
    --secret-id testDescriptionUpdate \
    --secret-string "SecretValue" \
    --version-stages "MyCustomLabel"