Enkripsi rahasia dan dekripsi di AWS Secrets Manager - AWS Secrets Manager
Memilih AWS KMS kunciApa yang dienkripsi?Proses enkripsi dan dekripsiIzin untuk kunci KMSBagaimana Secrets Manager menggunakan KMS kunci AndaKebijakan utama dari Kunci yang dikelola AWS (aws/secretsmanager)Konteks enkripsi Secrets ManagerMemantau interaksi Secrets Manager dengan AWS KMS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Enkripsi rahasia dan dekripsi di AWS Secrets Manager

Secrets Manager menggunakan enkripsi amplop dengan AWS KMS kunci dan kunci data untuk melindungi setiap nilai rahasia. Setiap kali nilai rahasia dalam rahasia berubah, Secrets Manager meminta kunci data baru AWS KMS untuk melindunginya. Kunci data dienkripsi di bawah KMS kunci dan disimpan dalam metadata rahasia. Untuk mendekripsi rahasia, Secrets Manager terlebih dahulu mendekripsi kunci data terenkripsi menggunakan kunci masuk. KMS AWS KMS

Secrets Manager tidak menggunakan KMS kunci untuk mengenkripsi nilai rahasia secara langsung. Sebaliknya, ia menggunakan KMS kunci untuk menghasilkan dan mengenkripsi kunci data simetris Advanced Encryption Standard (AES) 256-bit, dan menggunakan kunci data untuk mengenkripsi nilai rahasia. Secrets Manager menggunakan kunci data plaintext untuk mengenkripsi nilai rahasia di luar AWS KMS, dan kemudian menghapusnya dari memori. Ini menyimpan salinan terenkripsi dari kunci data dalam metadata dari rahasia.

Memilih AWS KMS kunci

Saat Anda membuat rahasia, Anda dapat memilih kunci yang dikelola pelanggan enkripsi simetris di Akun AWS dan Wilayah, atau Anda dapat menggunakan Kunci yang dikelola AWS for Secrets Manager (aws/secretsmanager). Jika Anda memilih Kunci yang dikelola AWS aws/secretsmanager dan itu belum ada, Secrets Manager membuatnya dan mengaitkannya dengan rahasia. Anda dapat menggunakan kunci yang sama atau KMS KMS kunci yang berbeda untuk setiap rahasia di akun Anda. Anda mungkin ingin menggunakan KMS kunci yang berbeda untuk menyetel izin khusus pada kunci untuk sekelompok rahasia, atau jika Anda ingin mengaudit operasi tertentu untuk kunci tersebut. Secrets Manager hanya mendukung KMSkunci enkripsi simetris. Jika Anda menggunakan KMS kunci di penyimpanan kunci eksternal, operasi kriptografi pada KMS kunci mungkin memakan waktu lebih lama dan kurang dapat diandalkan dan tahan lama karena permintaan harus melakukan perjalanan di luar. AWS

Untuk informasi tentang mengubah kunci enkripsi untuk rahasia, lihatMengubah kunci enkripsi untuk AWS Secrets Manager Rahasia.

Saat Anda mengubah kunci enkripsi, Secrets Manager mengenkripsi ulang AWSCURRENTAWSPENDING, dan AWSPREVIOUS versi dengan kunci baru. Untuk menghindari mengunci Anda dari rahasia, Secrets Manager menyimpan semua versi yang ada dienkripsi dengan kunci sebelumnya. Itu berarti Anda dapat mendekripsiAWSCURRENT,AWSPENDING, dan AWSPREVIOUS versi dengan kunci sebelumnya atau kunci baru. Jika Anda tidak memiliki kms:Decrypt izin untuk kunci sebelumnya, ketika Anda mengubah kunci enkripsi, Secrets Manager tidak dapat mendekripsi versi rahasia untuk mengenkripsi ulang mereka. Dalam hal ini, versi yang ada tidak dienkripsi ulang.

Untuk membuatnya sehingga hanya AWSCURRENT dapat didekripsi oleh kunci enkripsi baru, buat versi baru rahasia dengan kunci baru. Kemudian untuk dapat mendekripsi versi AWSCURRENT rahasia, Anda harus memiliki izin untuk kunci baru.

Anda dapat menolak izin untuk Kunci yang dikelola AWS aws/secretsmanager dan memerlukan rahasia dienkripsi dengan kunci yang dikelola pelanggan. Untuk informasi selengkapnya, lihat Contoh: Tolak AWS KMS kunci tertentu untuk mengenkripsi rahasia.

Untuk menemukan KMS kunci yang terkait dengan rahasia, lihat rahasia di konsol atau panggil ListSecretsatau DescribeSecret. Ketika rahasia dikaitkan dengan Kunci yang dikelola AWS for Secrets Manager (aws/secretsmanager), operasi ini tidak mengembalikan pengenal KMS kunci.

Apa yang dienkripsi?

Secrets Manager mengenkripsi nilai rahasia, tetapi tidak mengenkripsi yang berikut:

  • Nama dan deskripsi rahasia

  • Pengaturan rotasi

  • ARNKMSkunci yang terkait dengan rahasia

  • Setiap AWS tag terlampir

Proses enkripsi dan dekripsi

Untuk mengenkripsi nilai rahasia dalam rahasia, Secrets Manager menggunakan proses berikut.

  1. Secrets Manager memanggil AWS KMS GenerateDataKeyoperasi dengan ID KMS kunci untuk rahasia dan permintaan untuk kunci AES simetris 256-bit. AWS KMS mengembalikan kunci data plaintext dan salinan kunci data yang dienkripsi di bawah kunci. KMS

  2. Secrets Manager menggunakan kunci data plaintext dan algoritma Advanced Encryption Standard (AES) untuk mengenkripsi nilai rahasia di luar. AWS KMS Ini akan menghapus kunci plaintext dari memori sesegera mungkin setelah menggunakannya.

  3. Secrets Manager menyimpan kunci data terenkripsi dalam metadata rahasia sehingga ini tersedia untuk mendekripsi nilai rahasia. Namun, tidak ada Secrets Manager yang APIs mengembalikan rahasia terenkripsi atau kunci data terenkripsi.

Untuk mendekripsi nilai rahasia terenkripsi:

  1. Secrets Manager memanggil operasi AWS KMS Dekripsi dan meneruskan kunci data terenkripsi.

  2. AWS KMS menggunakan KMS kunci rahasia untuk mendekripsi kunci data. Ini mengembalikan kunci data plaintext.

  3. Secrets Manager menggunakan kunci data plaintext untuk mendekripsi nilai rahasia. Kemudian, ini menghapus kunci data dari memori sesegera mungkin.

Izin untuk kunci KMS

Ketika Secrets Manager menggunakan KMS kunci dalam operasi kriptografi, ia bertindak atas nama pengguna yang mengakses atau memperbarui nilai rahasia. Anda dapat memberikan izin dalam IAM kebijakan atau kebijakan utama. Operasi Secrets Manager berikut memerlukan AWS KMS izin.

Untuk mengizinkan KMS kunci hanya digunakan untuk permintaan yang berasal dari Secrets Manager, dalam kebijakan izin, Anda dapat menggunakan kunci ViaService kondisi kms: dengan nilainya. secretsmanager.<Region>.amazonaws.com

Anda juga dapat menggunakan kunci atau nilai dalam konteks enkripsi sebagai syarat untuk menggunakan KMS kunci untuk operasi kriptografi. Misalnya, Anda dapat menggunakan operator kondisi string dalam dokumen kebijakan IAM atau kunci, atau menggunakan batasan hibah dalam hibah. KMSpropagasi hibah kunci dapat memakan waktu hingga lima menit. Untuk informasi lebih lanjut, lihat CreateGrant.

Bagaimana Secrets Manager menggunakan KMS kunci Anda

Secrets Manager memanggil AWS KMS operasi berikut dengan KMS kunci Anda.

GenerateDataKey

Secrets Manager memanggil AWS KMS GenerateDataKeyoperasi sebagai tanggapan atas operasi Secrets Manager berikut.

  • CreateSecret— Jika rahasia baru menyertakan nilai rahasia, Secrets Manager meminta kunci data baru untuk mengenkripsi itu.

  • PutSecretValue— Secrets Manager meminta kunci data baru untuk mengenkripsi nilai rahasia yang ditentukan.

  • ReplicateSecretToRegions— Untuk mengenkripsi rahasia yang direplikasi, Secrets Manager meminta kunci data untuk KMS kunci di Region replika.

  • UpdateSecret— Jika Anda mengubah nilai rahasia atau KMS kunci, Secrets Manager meminta kunci data baru untuk mengenkripsi nilai rahasia baru.

RotateSecretOperasi tidak memanggilGenerateDataKey, karena tidak mengubah nilai rahasia. Namun, jika RotateSecret memanggil fungsi rotasi Lambda yang mengubah nilai rahasia, panggilannya ke PutSecretValue operasi memicu GenerateDataKey permintaan.

Dekripsi

Secrets Manager memanggil operasi Dekripsi sebagai respons untuk operasi Secrets Manager berikut.

  • GetSecretValuedan BatchGetSecretValue— Secrets Manager mendekripsi nilai rahasia sebelum mengembalikannya ke penelepon. Untuk mendekripsi nilai rahasia terenkripsi, Secrets Manager memanggil operasi Dekripsi untuk AWS KMS mendekripsi kunci data terenkripsi dalam rahasia. Kemudian, ini menggunakan kunci data plaintext untuk mendekripsi nilai rahasia terenkripsi. Untuk perintah batch, Secrets Manager dapat menggunakan kembali kunci yang didekripsi, sehingga tidak semua panggilan menghasilkan permintaan. Decrypt

  • PutSecretValuedan UpdateSecret— Sebagian besar PutSecretValue dan UpdateSecret permintaan tidak memicu Decrypt operasi. Namun, ketika permintaan PutSecretValue atau UpdateSecret berusaha untuk mengubah nilai rahasia dalam versi rahasia yang ada, Secrets Manager mendekripsi nilai rahasia yang ada dan membandingkannya dengan nilai rahasia dalam permintaan untuk mengonfirmasi bahwa mereka adalah sama. Tindakan ini memastikan bahwa operasi Secrets Manager adalah idempoten. Untuk mendekripsi nilai rahasia terenkripsi, Secrets Manager memanggil operasi Dekripsi untuk AWS KMS mendekripsi kunci data terenkripsi dalam rahasia. Kemudian, ini menggunakan kunci data plaintext untuk mendekripsi nilai rahasia terenkripsi.

  • ReplicateSecretToRegions— Secrets Manager pertama kali mendekripsi nilai rahasia di Wilayah utama sebelum mengenkripsi ulang nilai rahasia dengan KMS kunci di Region replika.

Enkripsi

Secrets Manager memanggil operasi Enkripsi sebagai respons terhadap operasi Secrets Manager berikut:

  • UpdateSecret— Jika Anda mengubah KMS kunci, Secrets Manager mengenkripsi ulang kunci data yang melindungiAWSCURRENT,AWSPREVIOUS, dan versi AWSPENDING rahasia dengan kunci baru.

  • ReplicateSecretToRegions— Secrets Manager mengenkripsi ulang kunci data selama replikasi menggunakan KMS kunci di Region replika.

DescribeKey

Secrets Manager memanggil DescribeKeyoperasi untuk menentukan apakah akan mencantumkan KMS kunci saat Anda membuat atau mengedit rahasia di konsol Secrets Manager.

Memvalidasi akses ke kunci KMS

Ketika Anda membuat atau mengubah KMS kunci yang terkait dengan rahasia, Secrets Manager memanggil GenerateDataKey dan Decrypt operasi dengan KMS kunci yang ditentukan. Panggilan ini mengonfirmasi bahwa penelepon memiliki izin untuk menggunakan KMS kunci untuk operasi ini. Secrets Manager membuang hasil operasi tersebut; itu tidak menggunakannya dalam operasi kriptografi.

Anda dapat mengidentifikasi panggilan validasi ini karena nilai dari kunci SecretVersionId konteks enkripsi dalam permintaan ini adalah RequestToValidateKeyAccess.

catatan

Di masa lalu, panggilan validasi Secrets Manager tidak termasuk konteks enkripsi. Anda mungkin menemukan panggilan tanpa konteks enkripsi di AWS CloudTrail log lama.

Kebijakan utama dari Kunci yang dikelola AWS (aws/secretsmanager)

Kebijakan kunci Kunci yang dikelola AWS untuk Secrets Manager (aws/secretsmanager) memberi pengguna izin untuk menggunakan KMS kunci untuk operasi tertentu hanya jika Secrets Manager membuat permintaan atas nama pengguna. Kebijakan kunci tidak mengizinkan pengguna untuk menggunakan KMS kunci secara langsung.

Kebijakan utama ini, seperti kebijakan semua Kunci yang dikelola AWS, ditetapkan oleh layanan. Anda tidak dapat mengubah kebijakan kunci, tetapi Anda dapat melihatnya kapan saja. Untuk detailnya, lihat Melihat kebijakan utama.

Pernyataan kebijakan dalam kebijakan kunci memiliki efek sebagai berikut:

  • Izinkan pengguna di akun untuk menggunakan KMS kunci untuk operasi kriptografi hanya ketika permintaan berasal dari Secrets Manager atas nama mereka. Kunci kondisi kms:ViaService memberlakukan pembatasan ini.

  • Memungkinkan AWS akun membuat IAM kebijakan yang memungkinkan pengguna melihat properti KMS kunci dan mencabut hibah.

  • Meskipun Secrets Manager tidak menggunakan hibah untuk mendapatkan akses ke KMS kunci, kebijakan ini juga memungkinkan Secrets Manager untuk membuat hibah untuk KMS kunci atas nama pengguna dan memungkinkan akun untuk mencabut hibah apa pun yang memungkinkan Secrets Manager untuk menggunakan kunci tersebut. KMS Ini adalah elemen standar dokumen kebijakan untuk sebuah Kunci yang dikelola AWS.

Berikut ini adalah kebijakan utama untuk Kunci yang dikelola AWS contoh Secrets Manager.

{
  "Id": "auto-secretsmanager-2",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Allow access through AWS Secrets Manager for all principals in the account that are authorized to use AWS Secrets Manager",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "*"
        ]
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:CreateGrant",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:CallerAccount": "111122223333",
          "kms:ViaService": "secretsmanager.us-west-2.amazonaws.com"
        }
      }
    },
    {
      "Sid": "Allow access through AWS Secrets Manager for all principals in the account that are authorized to use AWS Secrets Manager",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "*"
        ]
      },
      "Action": "kms:GenerateDataKey*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:CallerAccount": "111122223333"
        },
        "StringLike": {
          "kms:ViaService": "secretsmanager.us-west-2.amazonaws.com"
        }
      }
    },
    {
      "Sid": "Allow direct access to key metadata to the account",
      "Effect": "Allow",
      "Principal": {
        "AWS": [
          "arn:aws:iam::111122223333:root"
        ]
      },
      "Action": [
        "kms:Describe*",
        "kms:Get*",
        "kms:List*",
        "kms:RevokeGrant"
      ],
      "Resource": "*"
    }
  ]
}

Konteks enkripsi Secrets Manager

Konteks enkripsi adalah seperangkat pasangan nilai kunci yang berisi data non-rahasia yang berubah-ubah. Ketika Anda menyertakan konteks enkripsi dalam permintaan untuk mengenkripsi data, secara AWS KMS kriptografis mengikat konteks enkripsi ke data terenkripsi. Untuk mendekripsi data, Anda harus meneruskan konteks enkripsi yang sama.

Dalam permintaannya GenerateDataKeydan Dekripsi ke AWS KMS, Secrets Manager menggunakan konteks enkripsi dengan dua pasangan nama-nilai yang mengidentifikasi rahasia dan versinya, seperti yang ditunjukkan pada contoh berikut. Nama-nama tidak bervariasi, tetapi nilai-nilai konteks enkripsi gabungan akan berbeda untuk setiap nilai rahasia.

"encryptionContext": {
    "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3",
    "SecretVersionId": "EXAMPLE1-90ab-cdef-fedc-ba987SECRET1"
}

Anda dapat menggunakan konteks enkripsi untuk mengidentifikasi operasi kriptografi ini dalam catatan audit dan log, seperti AWS CloudTraildan Amazon CloudWatch Logs, dan sebagai syarat untuk otorisasi dalam kebijakan dan hibah.

Enkripsi konteks Secrets Manager terdiri dari dua pasangan nama-nilai.

  • Rahasia ARN — Pasangan nama-nilai pertama mengidentifikasi rahasia. Kuncinya adalah SecretARN. Nilainya adalah Amazon Resource Name (ARN) dari rahasianya.

    "SecretARN": "ARN of an Secrets Manager secret"

    Misalnya, jika rahasianya adalaharn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3, konteks enkripsi akan menyertakan pasangan berikut. ARN

    "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3"

  • SecretVersionId— Pasangan nama-nilai kedua mengidentifikasi versi rahasia. Kuncinya adalah SecretVersionId. Nilai adalah ID versi.

    "SecretVersionId": "<version-id>"

    Sebagai contoh, jika ID versi dari rahasia adalah EXAMPLE1-90ab-cdef-fedc-ba987SECRET1, maka konteks enkripsi akan mencakup pasangan berikut.

    "SecretVersionId": "EXAMPLE1-90ab-cdef-fedc-ba987SECRET1"

Saat Anda membuat atau mengubah KMS kunci untuk rahasia, Secrets Manager mengirimkan GenerateDataKeydan Mendekripsi permintaan AWS KMS untuk memvalidasi bahwa pemanggil memiliki izin untuk menggunakan KMS kunci untuk operasi ini. Ini membuang tanggapan; tidak menggunakannya pada nilai rahasia.

Dalam permintaan validasi ini, nilai SecretARN adalah sebenarnya ARN dari rahasia, tetapi SecretVersionId nilainyaRequestToValidateKeyAccess, seperti yang ditunjukkan dalam konteks enkripsi contoh berikut. Nilai khusus ini membantu Anda untuk mengidentifikasi permintaan validasi di log dan jejak audit.

"encryptionContext": {
    "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3",
    "SecretVersionId": "RequestToValidateKeyAccess"
}
catatan

Di masa lalu, permintaan validasi Secrets Manager tidak termasuk konteks enkripsi. Anda mungkin menemukan panggilan tanpa konteks enkripsi di AWS CloudTrail log lama.

Memantau interaksi Secrets Manager dengan AWS KMS

Anda dapat menggunakan AWS CloudTrail dan Amazon CloudWatch Logs untuk melacak permintaan yang dikirimkan Secrets Manager atas nama Anda. AWS KMS Untuk informasi tentang pemantauan penggunaan rahasia, lihatMemantau AWS Secrets Manager rahasia.

GenerateDataKey

Saat Anda membuat atau mengubah nilai rahasia dalam rahasia, Secrets Manager mengirimkan GenerateDataKeypermintaan AWS KMS yang menentukan KMS kunci untuk rahasia tersebut.

Peristiwa yang mencatat operasi GenerateDataKey serupa dengan peristiwa contoh berikut. Permintaan dipanggil oleh secretsmanager.amazonaws.com. Parameter termasuk Amazon Resource Name (ARN) dari KMS kunci untuk rahasia, penentu kunci yang memerlukan kunci 256-bit, dan konteks enkripsi yang mengidentifikasi rahasia dan versi.

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AROAIGDTESTANDEXAMPLE:user01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/user01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2018-05-31T23:23:41Z"
            }
        },
        "invokedBy": "secretsmanager.amazonaws.com"
    },
    "eventTime": "2018-05-31T23:23:41Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "secretsmanager.amazonaws.com",
    "userAgent": "secretsmanager.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
        "keySpec": "AES_256",
        "encryptionContext": {
            "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3",
            "SecretVersionId": "EXAMPLE1-90ab-cdef-fedc-ba987SECRET1"
        }
    },
    "responseElements": null,
    "requestID": "a7d4dd6f-6529-11e8-9881-67744a270888",
    "eventID": "af7476b6-62d7-42c2-bc02-5ce86c21ed36",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}
Dekripsi

Ketika Anda mendapatkan atau mengubah nilai rahasia rahasia, Secrets Manager mengirimkan permintaan Dekripsi AWS KMS untuk mendekripsi kunci data terenkripsi. Untuk perintah batch, Secrets Manager dapat menggunakan kembali kunci yang didekripsi, sehingga tidak semua panggilan menghasilkan permintaan. Decrypt

Peristiwa yang mencatat operasi Decrypt serupa dengan peristiwa contoh berikut. Pengguna adalah kepala sekolah di AWS akun Anda yang mengakses tabel. Parameter termasuk kunci tabel terenkripsi (sebagai gumpalan ciphertext) dan konteks enkripsi yang mengidentifikasi tabel dan akun. AWS AWS KMS memperoleh ID KMS kunci dari ciphertext. 

{
    "eventVersion": "1.05",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AROAIGDTESTANDEXAMPLE:user01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/user01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2018-05-31T23:36:09Z"
            }
        },
        "invokedBy": "secretsmanager.amazonaws.com"
    },
    "eventTime": "2018-05-31T23:36:09Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "secretsmanager.amazonaws.com",
    "userAgent": "secretsmanager.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:test-secret-a1b2c3",
            "SecretVersionId": "EXAMPLE1-90ab-cdef-fedc-ba987SECRET1"
        }
    },
    "responseElements": null,
    "requestID": "658c6a08-652b-11e8-a6d4-ffee2046048a",
    "eventID": "f333ec5c-7fc1-46b1-b985-cbda13719611",
    "readOnly": true,
    "resources": [
        {
            "ARN": "arn:aws:kms:us-east-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "accountId": "111122223333",
            "type": "AWS::KMS::Key"
        }
    ],
    "eventType": "AwsApiCall",
    "recipientAccountId": "111122223333"
}
Enkripsi

Ketika Anda mengubah KMS kunci yang terkait dengan rahasia, Secrets Manager mengirimkan permintaan Enkripsi AWS KMS untuk mengenkripsi ulangAWSCURRENT,AWSPREVIOUS, dan versi AWSPENDING rahasia dengan kunci baru. Saat Anda mereplikasi rahasia ke Wilayah lain, Secrets Manager juga mengirimkan permintaan Enkripsi ke. AWS KMS

Peristiwa yang mencatat operasi Encrypt serupa dengan peristiwa contoh berikut. Pengguna adalah kepala sekolah di AWS akun Anda yang mengakses tabel. 

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "AROAIGDTESTANDEXAMPLE:user01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/user01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "attributes": {
                "creationDate": "2023-06-09T18:11:34Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "secretsmanager.amazonaws.com"
    },
    "eventTime": "2023-06-09T18:11:34Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Encrypt",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "secretsmanager.amazonaws.com",
    "userAgent": "secretsmanager.amazonaws.com",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-2:111122223333:key/EXAMPLE1-f1c8-4dce-8777-aa071ddefdcc",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "encryptionContext": {
            "SecretARN": "arn:aws:secretsmanager:us-east-2:111122223333:secret:ChangeKeyTest-5yKnKS",
            "SecretVersionId": "EXAMPLE1-5c55-4d7c-9277-1b79a5e8bc50"
        }
    },
    "responseElements": null,
    "requestID": "129bd54c-1975-4c00-9b03-f79f90e61d60",
    "eventID": "f7d9ff39-15ab-47d8-b94c-56586de4ab68",
    "readOnly": true,
    "resources": [
        {
            "accountId": "AWS Internal",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/EXAMPLE1-f1c8-4dce-8777-aa071ddefdcc"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}