Mengubah kunci enkripsi untuk AWS Secrets Manager Rahasia - AWS Secrets Manager
AWS CLI

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengubah kunci enkripsi untuk AWS Secrets Manager Rahasia

Secrets Manager menggunakan enkripsi amplop dengan AWS KMS kunci dan kunci data untuk melindungi setiap nilai rahasia. Untuk setiap rahasia, Anda dapat memilih KMS kunci mana yang akan digunakan. Anda dapat menggunakan Kunci yang dikelola AWS aws/secretsmanager, atau Anda dapat menggunakan kunci yang dikelola pelanggan. Untuk kebanyakan kasus, kami sarankan menggunakan aws/secretsmanager, dan tidak ada biaya untuk menggunakannya. Jika Anda perlu mengakses rahasia dari yang lain Akun AWS, atau jika Anda ingin menggunakan KMS kunci Anda sendiri sehingga Anda dapat memutarnya atau menerapkan kebijakan kunci untuk itu, gunakan kunci yang dikelola pelanggan. Anda harus memilikiIzin untuk kunci KMS. Untuk informasi tentang biaya penggunaan kunci yang dikelola pelanggan, lihatHarga.

Anda dapat mengubah kunci enkripsi untuk rahasia Anda. Misalnya, jika Anda ingin mengakses rahasia dari akun lain, dan rahasianya saat ini dienkripsi menggunakan AWS kunci terkelolaaws/secretsmanager, Anda dapat beralih ke kunci yang dikelola pelanggan.

Tip

Jika Anda ingin memutar kunci yang dikelola pelanggan, kami sarankan menggunakan AWS KMS rotasi kunci otomatis. Untuk informasi lebih lanjut, lihat Memutar AWS KMS kunci.

Saat Anda mengubah kunci enkripsi, Secrets Manager mengenkripsi ulang AWSCURRENTAWSPENDING, dan AWSPREVIOUS versi dengan kunci baru. Untuk menghindari mengunci Anda dari rahasia, Secrets Manager menyimpan semua versi yang ada dienkripsi dengan kunci sebelumnya. Itu berarti Anda dapat mendekripsiAWSCURRENT,AWSPENDING, dan AWSPREVIOUS versi dengan kunci sebelumnya atau kunci baru. Jika Anda tidak memiliki kms:Decrypt izin untuk kunci sebelumnya, ketika Anda mengubah kunci enkripsi, Secrets Manager tidak dapat mendekripsi versi rahasia untuk mengenkripsi ulang mereka. Dalam hal ini, versi yang ada tidak dienkripsi ulang.

Untuk membuatnya sehingga hanya AWSCURRENT dapat didekripsi oleh kunci enkripsi baru, buat versi baru rahasia dengan kunci baru. Kemudian untuk dapat mendekripsi versi AWSCURRENT rahasia, Anda harus memiliki izin untuk kunci baru.

Jika Anda menonaktifkan kunci enkripsi sebelumnya, Anda tidak akan dapat mendekripsi versi rahasia apa pun kecualiAWSCURRENT,, AWSPENDING dan. AWSPREVIOUS Jika Anda memiliki versi rahasia berlabel lain yang ingin Anda pertahankan aksesnya, Anda perlu membuat ulang versi tersebut dengan kunci enkripsi baru menggunakan. AWS CLI

Untuk mengubah kunci enkripsi untuk rahasia (konsol)

  1. Buka konsol Secrets Manager di https://console.aws.amazon.com/secretsmanager/.

  2. Dari daftar rahasia, pilih rahasia Anda.

  3. Pada halaman detail rahasia, di bagian Detail Rahasia, pilih Tindakan, lalu pilih Edit kunci enkripsi.

AWS CLI

Jika Anda mengubah kunci enkripsi untuk rahasia dan kemudian menonaktifkan kunci enkripsi sebelumnya, Anda tidak akan dapat mendekripsi versi rahasia apa pun kecualiAWSCURRENT,, AWSPENDING dan. AWSPREVIOUS Jika Anda memiliki versi rahasia berlabel lain yang ingin Anda pertahankan aksesnya, Anda perlu membuat ulang versi tersebut dengan kunci enkripsi baru menggunakan. AWS CLI

Untuk mengubah kunci enkripsi untuk rahasia (AWS CLI)

  1. update-secretContoh berikut memperbarui KMS kunci yang digunakan untuk mengenkripsi nilai rahasia. KMSKuncinya harus berada di wilayah yang sama dengan rahasianya.

    aws secretsmanager update-secret \
      --secret-id MyTestSecret \
      --kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE

  2. (Opsional) Jika Anda memiliki versi rahasia yang memiliki label khusus, untuk mengenkripsi ulang menggunakan kunci baru, Anda harus membuat ulang versi tersebut.

    Saat Anda memasukkan perintah di shell perintah, ada risiko riwayat perintah diakses atau utilitas memiliki akses ke parameter perintah Anda. Lihat Mengurangi risiko menggunakan AWS CLI untuk menyimpan rahasia Anda AWS Secrets Manager.

    1. Dapatkan nilai dari versi rahasia.

      aws secretsmanager get-secret-value \
      --secret-id MyTestSecret \
      --version-stage MyCustomLabel

      Catat nilai rahasianya.

    2. Buat versi baru dengan nilai itu.

      aws secretsmanager put-secret-value \
    --secret-id testDescriptionUpdate \
    --secret-string "SecretValue" \
    --version-stages "MyCustomLabel"