JSONStruktur von AWS Secrets Manager Secrets - AWS Secrets Manager
Amazon RDS - und Aurora-AnmeldeinformationenAmazon Redshift Redshift-AnmeldeinformationenServerlose Amazon Redshift Redshift-AnmeldeinformationenAmazon DocumentDB DocumentDB-AnmeldeinformationenGeheime Struktur von Amazon Timestream für InfluxDB ElastiCache Amazon-AnmeldeinformationenActive Directory-Anmeldeinformationen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

JSONStruktur von AWS Secrets Manager Secrets

Sie können jeden beliebigen Text oder jede Binärdatei bis zu einer maximalen Größe von 65.536 Byte in einem Secrets Manager Secret speichern.

Wenn Sie diese Option verwendenRotation durch Lambda-Funktion, muss ein Secret bestimmte JSON Felder enthalten, die von der Rotationsfunktion erwartet werden. Bei einem Geheimnis, das Datenbankanmeldedaten enthält, stellt die Rotationsfunktion beispielsweise eine Verbindung mit der Datenbank her, um die Anmeldeinformationen zu aktualisieren. Daher muss das Geheimnis die Datenbankverbindungsinformationen enthalten.

Wenn Sie die Konsole verwenden, um die Rotation für ein Datenbankgeheimnis zu bearbeiten, muss das Geheimnis bestimmte JSON Schlüssel-Wert-Paare enthalten, die die Datenbank identifizieren. Secrets Manager verwendet diese Felder, um die Datenbank abzufragen, um das Richtige VPC zum Speichern einer Rotationsfunktion zu finden.

JSONBei Schlüsselnamen wird zwischen Groß- und Kleinschreibung unterschieden.

Amazon RDS - und Aurora-Anmeldeinformationen

Verwenden Sie die folgende JSON Struktur, um die von Secrets Manager bereitgestellten Vorlagen für Rotationsfunktionen zu verwenden. Sie können weitere Schlüssel/Wert-Paare hinzufügen, um beispielsweise Verbindungsinformationen für Replikatdatenbanken in anderen Regionen zu enthalten.

DB2

Da Benutzer bei Amazon RDS Db2-Instances ihre eigenen Passwörter nicht ändern können, müssen Sie Administratoranmeldedaten in einem separaten Geheimnis angeben.

{
  "engine": "db2",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to None>",
  "port": <TCP port number. If not specified, defaults to 3306>,
  "masterarn": "<ARN of the elevated secret>",
  "dbInstanceIdentifier": <optional: ID of the instance. Alternately, use dbClusterIdentifier. Required for configuring rotation in the console.>",
  "dbClusterIdentifier": <optional: ID of the cluster. Alternately, use dbInstanceIdentifier. Required for configuring rotation in the console.>"
}
MariaDB
{
  "engine": "mariadb",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to None>",
  "port": <TCP port number. If not specified, defaults to 3306>,
  "masterarn": "<optional: ARN of the elevated secret. Required for the Rotationsstrategie: wechselnde Benutzer.>",
  "dbInstanceIdentifier": <optional: ID of the instance. Alternately, use dbClusterIdentifier. Required for configuring rotation in the console.>",
  "dbClusterIdentifier": <optional: ID of the cluster. Alternately, use dbInstanceIdentifier. Required for configuring rotation in the console.>"
}
MySQL
{
  "engine": "mysql",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to None>",
  "port": <TCP port number. If not specified, defaults to 3306>,
  "masterarn": "<optional: ARN of the elevated secret. Required for the Rotationsstrategie: wechselnde Benutzer.>",
  "dbInstanceIdentifier": <optional: ID of the instance. Alternately, use dbClusterIdentifier. Required for configuring rotation in the console.>",
  "dbClusterIdentifier": <optional: ID of the cluster. Alternately, use dbInstanceIdentifier. Required for configuring rotation in the console.>"
}
Oracle
{
  "engine": "oracle",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name>",
  "port": <TCP port number. If not specified, defaults to 1521>,
  "masterarn": "<optional: ARN of the elevated secret. Required for the Rotationsstrategie: wechselnde Benutzer.>",
  "dbInstanceIdentifier": <optional: ID of the instance. Alternately, use dbClusterIdentifier. Required for configuring rotation in the console.>",
  "dbClusterIdentifier": <optional: ID of the cluster. Alternately, use dbInstanceIdentifier. Required for configuring rotation in the console.>"
}
Postgres
{
  "engine": "postgres",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to 'postgres'>",
  "port": <TCP port number. If not specified, defaults to 5432>,
  "masterarn": "<optional: ARN of the elevated secret. Required for the Rotationsstrategie: wechselnde Benutzer.>",
  "dbInstanceIdentifier": <optional: ID of the instance. Alternately, use dbClusterIdentifier. Required for configuring rotation in the console.>",
  "dbClusterIdentifier": <optional: ID of the cluster. Alternately, use dbInstanceIdentifier. Required for configuring rotation in the console.>"
}
SQLServer
{
  "engine": "sqlserver",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to 'master'>",
  "port": <TCP port number. If not specified, defaults to 1433>,
  "masterarn": "<optional: ARN of the elevated secret. Required for the Rotationsstrategie: wechselnde Benutzer.>",
  "dbInstanceIdentifier": <optional: ID of the instance. Alternately, use dbClusterIdentifier. Required for configuring rotation in the console.>",
  "dbClusterIdentifier": <optional: ID of the cluster.Alternately, use dbInstanceIdentifier.  Required for configuring rotation in the console.>"
}

Amazon Redshift Redshift-Anmeldeinformationen

Verwenden Sie die folgende JSON Struktur, um die von Secrets Manager bereitgestellten Vorlagen für Rotationsfunktionen zu verwenden. Sie können weitere Schlüssel/Wert-Paare hinzufügen, um beispielsweise Verbindungsinformationen für Replikatdatenbanken in anderen Regionen zu enthalten.

{
  "engine": "redshift",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to None>",
  "dbClusterIdentifier": "<optional: database ID. Required for configuring rotation in the console.>"
  "port": <optional: TCP port number. If not specified, defaults to 5439>
  "masterarn": "<optional: ARN of the elevated secret. Required for the Rotationsstrategie: wechselnde Benutzer.>"
}

Serverlose Amazon Redshift Redshift-Anmeldeinformationen

Verwenden Sie die folgende JSON Struktur, um die von Secrets Manager bereitgestellten Vorlagen für Rotationsfunktionen zu verwenden. Sie können weitere Schlüssel/Wert-Paare hinzufügen, um beispielsweise Verbindungsinformationen für Replikatdatenbanken in anderen Regionen zu enthalten.

{
  "engine": "redshift",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to None>",
  "namespaceName": "<optional: namespace name, Required for configuring rotation in the console.> "
  "port": <optional: TCP port number. If not specified, defaults to 5439>
  "masterarn": "<optional: ARN of the elevated secret. Required for the Rotationsstrategie: wechselnde Benutzer.>"
}

Amazon DocumentDB DocumentDB-Anmeldeinformationen

Verwenden Sie die folgende JSON Struktur, um die von Secrets Manager bereitgestellten Vorlagen für Rotationsfunktionen zu verwenden. Sie können weitere Schlüssel/Wert-Paare hinzufügen, um beispielsweise Verbindungsinformationen für Replikatdatenbanken in anderen Regionen zu enthalten.

{
  "engine": "mongo",
  "host": "<instance host name/resolvable DNS name>",
  "username": "<username>",
  "password": "<password>",
  "dbname": "<database name. If not specified, defaults to None>",
  "port": <TCP port number. If not specified, defaults to 27017>,
  "ssl": <true|false. If not specified, defaults to false>,
  "masterarn": "<optional: ARN of the elevated secret. Required for the Rotationsstrategie: wechselnde Benutzer.>",
  "dbClusterIdentifier": "<optional: database cluster ID. Alternately, use dbInstanceIdentifier. Required for configuring rotation in the console.>"
  "dbInstanceIdentifier": "<optional: database instance ID. Alternately, use dbClusterIdentifier. Required for configuring rotation in the console.>"
}

Geheime Struktur von Amazon Timestream für InfluxDB

Um Timestream-Geheimnisse zu rotieren, können Sie die Rotationsvorlagen verwenden. Amazon Timestream für InfluxDB

Weitere Informationen finden Sie unter Wie Amazon Timestream for InfluxDB Secrets verwendet im Amazon Timestream Developer Guide.

Die Timestream-Geheimnisse müssen die richtige JSON Struktur haben, um die Rotationsvorlagen verwenden zu können. Weitere Informationen finden Sie unter Was steckt im Geheimnis im Amazon Timestream Developer Guide.

ElastiCache Amazon-Anmeldeinformationen

Das folgende Beispiel zeigt die JSON Struktur eines Geheimnisses, in dem ElastiCache Anmeldeinformationen gespeichert werden.

{
  "password": "<password>",
  "username": "<username>" 
  "user_arn": "ARN of the Amazon EC2 user"
}

Weitere Informationen finden Sie unter Automatisches Rotieren von Passwörtern für Benutzer im ElastiCache Amazon-Benutzerhandbuch.

Active Directory-Anmeldeinformationen

AWS Directory Service verwendet Geheimnisse zum Speichern von Active Directory-Anmeldeinformationen. Weitere Informationen finden Sie unter Nahtloses Hinzufügen einer Amazon EC2 Linux-Instance zu Ihrem Managed AD Active Directory in der AWS Directory Service Administratorhandbuch. Für einen nahtlosen Domänenbeitritt sind die Schlüsselnamen in den folgenden Beispielen erforderlich. Wenn Sie Seamless Domain Join nicht verwenden, können Sie die Namen der Schlüssel im Secret mithilfe von Umgebungsvariablen ändern, wie im Vorlagencode der Rotationsfunktion beschrieben.

Um Active Directory-Geheimnisse zu rotieren, können Sie die Active Directory-Rotationsvorlagen verwenden.

Active Directory credential
{
  "awsSeamlessDomainUsername": "<username>",
  "awsSeamlessDomainPassword": "<password>"
}

Wenn Sie den geheimen Schlüssel rotieren möchten, geben Sie die Domänenverzeichnis-ID an.

{
  "awsSeamlessDomainDirectoryId": "d-12345abc6e",
  "awsSeamlessDomainUsername": "<username>",
  "awsSeamlessDomainPassword": "<password>"
}

Wenn das Geheimnis in Verbindung mit einem Geheimnis verwendet wird, das eine Schlüsseltabelle enthält, geben Sie die geheime Schlüsseltabelle an. ARNs

{
  "awsSeamlessDomainDirectoryId": "d-12345abc6e",
  "awsSeamlessDomainUsername": "<username>",
  "awsSeamlessDomainPassword": "<password>",
  "directoryServiceSecretVersion": 1,
  "schemaVersion": "1.0",
  "keytabArns": [
    "<ARN of child keytab secret 1>,
    "<ARN of child keytab secret 2>,
    "<ARN of child keytab secret 3>,
  ],
  "lastModifiedDateTime": "2021-07-19 17:06:58"
}
Active Directory keytab

Informationen zur Verwendung von Keytab-Dateien zur Authentifizierung bei Active Directory-Konten bei Amazon EC2 finden Sie unter Bereitstellen und Konfigurieren der Active Directory-Authentifizierung mit SQL Server 2017 auf Amazon Linux 2.

{
  "awsSeamlessDomainDirectoryId": "d-12345abc6e",
  "schemaVersion": "1.0",
  "name": "< name>",
  "principals": [
    "aduser@MY.EXAMPLE.COM",
    "MSSQLSvc/test:1433@MY.EXAMPLE.COM"
  ],
  "keytabContents": "<keytab>",
  "parentSecretArn": "<ARN of parent secret>",
  "lastModifiedDateTime": "2021-07-19 17:06:58"
  "version": 1
}