Replizieren Sie AWS Secrets Manager Geheimnisse in allen Regionen - AWS Secrets Manager
AWS CLIAWS SDK

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Replizieren Sie AWS Secrets Manager Geheimnisse in allen Regionen

Sie können Ihre Secrets in mehreren Regionen replizieren, um Anwendungen AWS-Regionen zu unterstützen, die über diese Regionen verteilt sind, um die Anforderungen an regionalen Zugriff und geringe Latenz zu erfüllen. Bei Bedarf können Sie ein geheimes Replikat zu einem eigenständigen Replikatgeheimnis heraufstufen und es dann unabhängig für die Replikation einrichten. Secrets Manager repliziert die verschlüsselten geheimen Daten und Metadaten wie Tags und Ressourcenrichtlinien in den angegebenen Regionen.

Der ARN für ein repliziertes Secret ist bis auf die Region mit dem primären Secret identisch, zum Beispiel:

  • Primäres Secret: arn:aws:secretsmanager:Region1:123456789012:secret:MySecret-a1b2c3

  • Replikat-Secret: arn:aws:secretsmanager:Region2:123456789012:secret:MySecret-a1b2c3

Preisinformationen für Replikat-Secrets finden Sie unter AWS Secrets Manager -Preise.

Wenn Sie die Datenbank Anmeldeinformation für eine Quelldatenbank speichern, die in anderen Regionen repliziert wird, enthält das Secret Verbindungsinformationen für die Quelldatenbank. Wenn Sie dann das Secret replizieren, sind die Replikate Kopien des Quellsecret und enthalten dieselben Verbindungsinformationen. Sie können dem Secret zusätzliche Schlüssel/Wert-Paare hinzufügen, um regionale Verbindungsinformationen aufzunehmen.

Wenn Sie die Rotation für Ihr primäres Secret aktivieren, rotiert Secrets Manager das Secret in der primären Region, und der neue Geheimniswert wird an alle zugeordneten Replikat-Geheimnisse weitergegeben. Sie müssen die Drehung nicht für alle Geheimnis-Replikate einzeln verwalten.

Sie können geheime Daten in all Ihren aktivierten AWS Regionen replizieren. Wenn Sie Secrets Manager jedoch in speziellen AWS Regionen wie AWS GovCloud (US) oder Regionen in China verwenden, können Sie Secrets und Replicas nur in diesen speziellen AWS Regionen konfigurieren. Sie können ein Geheimnis in Ihren aktivierten AWS Regionen nicht in eine spezielle Region replizieren oder Geheimnisse aus einer speziellen Region in eine kommerzielle Region replizieren.

Bevor Sie ein Geheimnis in eine andere Region replizieren können, müssen Sie diese Region aktivieren. Weitere Informationen finden Sie unter Verwalten von AWS -Regionen.

Sie können ein Secret in mehreren Regionen verwenden, ohne dass es repliziert wurde, indem Sie den Secrets-Manager-Endpunkt in der Region aufrufen, in der das Secret gespeichert ist. Eine Liste der Endpunkte finden Sie unter AWS Secrets Manager Endpunkte. Informationen zur Verbesserung der Ausfallsicherheit Ihres Workloads mithilfe von Replikation finden Sie unter Disaster Recovery (DR) -Architektur unter AWS Teil I: Strategien für die Wiederherstellung in der Cloud.

Secrets Manager generiert einen CloudTrail Protokolleintrag, wenn Sie ein Geheimnis replizieren. Weitere Informationen finden Sie unter AWS Secrets Manager Ereignisse protokollieren mit AWS CloudTrail.

So replizieren Sie ein Secret in andere Regionen (Konsole)

  1. Öffnen Sie die Secrets-Manager-Konsole unter https://console.aws.amazon.com/secretsmanager/.

  2. Wählen Sie aus der Liste der Secrets Ihr Secret aus.

  3. Führen Sie auf der Seite zu den Secret-Details auf der Registerkarte Replikation einen der folgenden Schritte aus:

    • Wenn Ihr Geheimnis nicht repliziert wird, wählen Sie Geheimnis in andere Regionen replizieren aus.

    • Wenn Ihr Geheimnis repliziert wird, wählen Sie im Abschnitt Geheimnis replizieren Region hinzufügen aus.

  4. Führen Sie im Dialogfeld Replikatwert hinzufügen die folgenden Schritte aus:

    1. Wählen Sie für AWS -Region die Region aus, in die Sie das Secret replizieren möchten.

    2. (Optional) Wählen Sie für Verschlüsselungsschlüssel einen KMS-Schlüssel, mit dem Sie das Secret verschlüsseln möchten. Der Schlüssel muss in der Replikat-Region sein.

    3. (Optional) Zum Hinzufügen einer weiteren Region wählen Sie Weitere Regionen hinzufügen aus.

    4. Wählen Sie Replikat.

    Sie kehren zur Details-Seite des Geheimnisses zurück. Wählen Sie im Abschnitt Geheimnis replizieren die Region mit dem Replikatsstatus aus.

AWS CLI

Beispiel Secret in eine andere Region replizieren

Im folgenden replicate-secret-to-regions-Beispiel wird ein Secret in eu-west-3 repliziert. Das Replikat ist mit dem AWS verwalteten Schlüssel aws/secretsmanager verschlüsselt.

aws secretsmanager replicate-secret-to-regions \
        --secret-id MyTestSecret \
        --add-replica-regions Region=eu-west-3
Beispiel Erstellen Sie ein Geheimnis und replizieren Sie es

Das folgende Beispiel erstellt ein Geheimnis und repliziert es nach eu-west-3. Das Replikat ist mit dem verwalteten Schlüssel aws/secretsmanager verschlüsselt. AWS 

aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
    --add-replica-regions Region=eu-west-3

AWS SDK

Um ein Geheimnis zu replizieren, verwenden Sie den ReplicateSecretToRegions-Befehl. Weitere Informationen finden Sie unter AWS SDKs.