Modificare la chiave di crittografia per un AWS Secrets Manager Secret - AWS Secrets Manager
AWS CLI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Modificare la chiave di crittografia per un AWS Secrets Manager Secret

Secrets Manager utilizza la crittografia delle buste con AWS KMS chiavi e chiavi dati per proteggere ogni valore segreto. Per ogni segreto, puoi scegliere quale KMS chiave usare. Puoi utilizzare il plugin Chiave gestita da AWS aws/secretsmanager oppure puoi utilizzare una chiave gestita dal cliente. Nella maggior parte dei casi, consigliamo di usare aws/secretsmanager, che non presenta costi aggiuntivi per l'utilizzo. Se devi accedere al segreto da un altro Account AWS, oppure se desideri utilizzare la tua KMS chiave in modo da poterla ruotare o applicare una politica chiave, usa una chiave gestita dal cliente. Devi averlo fattoAutorizzazioni per la chiave KMS. Per informazioni sui costi di utilizzo di una chiave gestita dal cliente, consulta la sezione Prezzi.

Puoi modificare la chiave di crittografia per il segreto. Ad esempio, se desideri accedere al segreto da un altro account e il segreto è attualmente crittografato utilizzando il AWS chiave gestitaaws/secretsmanager, puoi passare a chiave gestita dal cliente.

Suggerimento

Se vuoi ruotare il tuo chiave gestita dal cliente, si consiglia di utilizzare AWS KMS rotazione automatica dei tasti. Per ulteriori informazioni, vedere Rotazione AWS KMS tasti.

Quando si modifica la chiave di crittografia, Secrets Manager cripta nuovamente AWSCURRENT e AWSPENDING le AWSPREVIOUS versioni con la nuova chiave. Per evitare di nasconderti il segreto, Secrets Manager mantiene tutte le versioni esistenti crittografate con la chiave precedente. Ciò significa che è possibile decrittografare AWSCURRENT AWSPENDING le AWSPREVIOUS versioni con la chiave precedente o quella nuova. Se non si dispone dell'kms:Decryptautorizzazione per la chiave precedente, quando si modifica la chiave di crittografia, Secrets Manager non può decrittografare le versioni segrete per crittografarle nuovamente. In questo caso, le versioni esistenti non vengono ricrittografate.

Per fare in modo che AWSCURRENT possa essere decifrata solo con la nuova chiave di crittografia, crea una nuova versione del segreto con la nuova chiave. Quindi, per poter decifrare la versione AWSCURRENT segreta, devi avere l'autorizzazione per la nuova chiave.

Se disattivi la chiave di crittografia precedente, non potrai decrittografare nessuna versione segreta ad eccezione di AWSCURRENT, AWSPENDING e AWSPREVIOUS. Se disponi di altre versioni segrete etichettate per le quali desideri mantenere l'accesso, devi ricreare tali versioni con la nuova chiave di crittografia utilizzando AWS CLI.

Per modificare la chiave di crittografia per un segreto (console)

  1. Apri la console Secrets Manager all'indirizzo https://console.aws.amazon.com/secretsmanager/.

  2. Dall'elenco dei segreti, scegli il segreto.

  3. Nella pagina dei dettagli del segreto, nella sezione Secrets details (Dettagli segreti), scegli Actions (Operazioni), quindi scegli Edit encryption key (Modifica chiave di crittografia).

AWS CLI

Se modifichi la chiave di crittografia per un segreto e disattivi la chiave di crittografia precedente, non sarà possibile decrittografare nessuna versione segreta ad eccezione di AWSCURRENT, AWSPENDING e AWSPREVIOUS. Se disponi di altre versioni segrete etichettate per le quali desideri mantenere l'accesso, devi ricreare tali versioni con la nuova chiave di crittografia utilizzando AWS CLI.

Per modificare la chiave di crittografia di un segreto (AWS CLI)

  1. L'update-secretesempio seguente aggiorna la KMS chiave utilizzata per crittografare il valore segreto. La KMS chiave deve trovarsi nella stessa area del segreto.

    aws secretsmanager update-secret \
      --secret-id MyTestSecret \
      --kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE

  2. (Facoltativo) Se disponi di versioni segrete con etichette personalizzate, per poterle crittografare nuovamente utilizzando la nuova chiave è necessario ricrearle.

    Quando immetti i comandi in una shell dei comandi, c'è il rischio che la cronologia dei comandi sia accessibile o che le utilità abbiano accesso ai parametri dei comandi. Per informazioni, consulta Riduzione dei rischi dell'utilizzo di AWS CLI per archiviare i segreti AWS Secrets Manager.

    1. Ottieni il valore della versione segreta.

      aws secretsmanager get-secret-value \
      --secret-id MyTestSecret \
      --version-stage MyCustomLabel

      Annota il valore segreto.

    2. Crea una nuova versione con quel valore.

      aws secretsmanager put-secret-value \
    --secret-id testDescriptionUpdate \
    --secret-string "SecretValue" \
    --version-stages "MyCustomLabel"