Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Ubah kunci enkripsi untuk AWS Secrets Manager rahasia
<a name="manage_update-encryption-key"></a>

Secrets Manager menggunakan [enkripsi amplop](security-encryption.md) dengan AWS KMS kunci dan kunci data untuk melindungi setiap nilai rahasia. Untuk setiap rahasia, Anda dapat memilih kunci KMS mana yang akan digunakan. Anda dapat menggunakan Kunci yang dikelola AWS **aws/secretsmanager**, atau Anda dapat menggunakan kunci yang dikelola pelanggan. Untuk kebanyakan kasus, kami sarankan menggunakan**aws/secretsmanager**, dan tidak ada biaya untuk menggunakannya. Jika Anda perlu mengakses rahasia dari yang lain Akun AWS, atau jika Anda ingin menggunakan kunci KMS Anda sendiri sehingga Anda dapat memutarnya atau menerapkan kebijakan kunci untuk itu, gunakan file. kunci yang dikelola pelanggan Anda harus memiliki[Izin untuk kunci KMS](security-encryption.md#security-encryption-authz). Untuk informasi tentang biaya penggunaan kunci yang dikelola pelanggan, lihat[Harga](intro.md#asm_pricing).

Anda dapat mengubah kunci enkripsi untuk rahasia Anda. Misalnya, jika Anda ingin [mengakses rahasia dari akun lain](auth-and-access_examples_cross.md), dan rahasia saat ini dienkripsi menggunakan kunci yang AWS dikelola`aws/secretsmanager`, Anda dapat beralih ke file. kunci yang dikelola pelanggan

**Tip**  
Jika Anda ingin memutar kunci yang dikelola pelanggan, kami sarankan menggunakan rotasi tombol AWS KMS otomatis. Untuk informasi selengkapnya, lihat [Memutar AWS KMS tombol](https://docs.aws.amazon.com/kms/latest/developerguide/rotate-keys.html).

Saat Anda mengubah kunci enkripsi, Secrets Manager mengenkripsi ulang `AWSCURRENT``AWSPENDING`, dan `AWSPREVIOUS` versi dengan kunci baru. Untuk menghindari mengunci Anda dari rahasia, Secrets Manager menyimpan semua versi yang ada dienkripsi dengan kunci sebelumnya. Itu berarti Anda dapat mendekripsi`AWSCURRENT`,`AWSPENDING`, dan `AWSPREVIOUS` versi dengan kunci sebelumnya atau kunci baru. Jika Anda tidak memiliki `kms:Decrypt` izin untuk kunci sebelumnya, ketika Anda mengubah kunci enkripsi, Secrets Manager tidak dapat mendekripsi versi rahasia untuk mengenkripsi ulang mereka. Dalam hal ini, versi yang ada tidak dienkripsi ulang.

Untuk membuatnya sehingga hanya `AWSCURRENT` dapat didekripsi oleh kunci enkripsi baru, buat versi baru rahasia dengan kunci baru. Kemudian untuk dapat mendekripsi versi `AWSCURRENT` rahasia, Anda harus memiliki izin untuk kunci baru.

Jika Anda menonaktifkan kunci enkripsi sebelumnya, Anda tidak akan dapat mendekripsi versi rahasia apa pun kecuali`AWSCURRENT`,, `AWSPENDING` dan. `AWSPREVIOUS` Jika Anda memiliki versi rahasia berlabel lain yang ingin Anda pertahankan aksesnya, Anda perlu membuat ulang versi tersebut dengan kunci enkripsi baru menggunakan. [AWS CLI](#manage_update-encryption-key_CLI)

**Untuk mengubah kunci enkripsi untuk rahasia (konsol)**

1. Buka konsol Secrets Manager di [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).

1. Dari daftar rahasia, pilih rahasia Anda.

1. Pada halaman detail rahasia, di bagian **Detail rahasia**, pilih **Tindakan**, lalu pilih **Edit kunci enkripsi**. 

## AWS CLI
<a name="manage_update-encryption-key_CLI"></a>

Jika Anda mengubah kunci enkripsi untuk rahasia dan kemudian menonaktifkan kunci enkripsi sebelumnya, Anda tidak akan dapat mendekripsi versi rahasia apa pun kecuali`AWSCURRENT`,, `AWSPENDING` dan. `AWSPREVIOUS` Jika Anda memiliki versi rahasia berlabel lain yang ingin Anda pertahankan aksesnya, Anda perlu membuat ulang versi tersebut dengan kunci enkripsi baru menggunakan. [AWS CLI](#manage_update-encryption-key_CLI)

**Untuk mengubah kunci enkripsi untuk secret (AWS CLI)**

1. [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/update-secret.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/update-secret.html)Contoh berikut memperbarui kunci KMS yang digunakan untuk mengenkripsi nilai rahasia. Kunci KMS harus berada di wilayah yang sama dengan rahasia.

   ```
   aws secretsmanager update-secret \
         --secret-id MyTestSecret \
         --kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE
   ```

1. (Opsional) Jika Anda memiliki versi rahasia yang memiliki label khusus, untuk mengenkripsi ulang menggunakan kunci baru, Anda harus membuat ulang versi tersebut. 

   Saat Anda memasukkan perintah di shell perintah, ada risiko riwayat perintah diakses atau utilitas memiliki akses ke parameter perintah Anda. Lihat [Mengurangi risiko menggunakan AWS CLI untuk menyimpan rahasia Anda AWS Secrets Manager](security_cli-exposure-risks.md).

   1. Dapatkan nilai dari versi rahasia.

      ```
      aws secretsmanager get-secret-value \
            --secret-id MyTestSecret \
            --version-stage MyCustomLabel
      ```

      Catat nilai rahasianya.

   1. Buat versi baru dengan nilai itu.

      ```
      aws secretsmanager put-secret-value \
          --secret-id testDescriptionUpdate \
          --secret-string "SecretValue" \
          --version-stages "MyCustomLabel"
      ```