本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Secrets Manager 秘密中有什麼?
在 Secrets Manager 中,秘密由秘密資訊、秘密值,以及關於秘密的中繼資料組成。秘密值可以為字串或二進位。
若要將多個字串值儲存在一個密碼中,建議您使用含索引鍵值配對的JSON文字字串,例如:
{ "host" : "ProdServer-01.databases.example.com", "port" : "8888", "username" : "administrator", "password" : "EXAMPLE-PASSWORD", "dbname" : "MyDatabase", "engine" : "mysql" }
對於資料庫密碼,如果您想要開啟自動循環,密碼必須包含正確JSON結構中資料庫的連線資訊。如需詳細資訊,請參閱「JSON的結構 AWS Secrets Manager 秘密 」。
中繼資料
秘密的中繼資料包括:
-
具有以下格式的 Amazon 資源名稱(ARN):
arn:aws:secretsmanager:<Region>:<AccountId>:secret:SecretName-6RandomCharactersSecret Manager 在密碼名稱的末尾包含六個隨機字元,以協助確保密碼ARN是唯一的。如果刪除原始密碼,然後使用相同的名稱建立新密碼,則這兩個密碼會ARNs因為這些字元而有所不同。具有舊密碼存取權的使用者不會自動取得新密碼的存取權,因ARNs為不同。
-
秘密的名稱、描述、資源政策和標籤。
-
對ARN於加密金鑰, AWS KMS key Secrets Manager 用來加密和解密密碼值。Secrets Manager 一律會以加密形式存放秘密文字,並且一律加密傳輸中的秘密。請參閱 秘密加密和解密 AWS Secrets Manager。
-
關於如何輪換秘密的資訊 (如果設定輪換)。請參閱 Rotate AWS Secrets Manager 秘密。
Secrets Manager 會使用IAM權限原則來確保只有獲得授權的使用者可以存取或修改密碼。請參閱 的身分驗證和存取控制 AWS Secrets Manager。
密碼具有保存加密密碼值副本的版本。在變更秘密值或輪換秘密後,Secrets Manager 會建立新的版本。請參閱 秘密版本。
您可以跨多個使用秘密 AWS 區域 通過複製它。在複寫秘密時,您會建立原始或主要秘密 (稱為複本秘密) 的副本。複本秘密會保持與主要秘密的連結。請參閱 跨區域複寫 AWS Secrets Manager 密碼。
請參閱 使用管理秘密 AWS Secrets Manager。
秘密版本
密碼具有保存加密密碼值副本的版本。在變更秘密值或輪換秘密後,Secrets Manager 會建立新的版本。
Secrets Manager 不會儲存帶有版本的秘密線性歷史記錄,相反,它通過標記三個特定版本來跟踪它們:
目前版本:
AWSCURRENT舊版本:
AWSPREVIOUS未激活版本 (輪換期間):
AWSPENDING
秘密始終有一個標記為 AWSCURRENT 的版本,當您擷取秘密值時,Secrets Manager 會依預設傳回該版本。
您還可以通過調update-secret-version-stage用自己的標籤來標記版本 AWS CLI。 您最多可以將 20 個標籤附加到密碼中的版本。秘密的兩個版本不能擁有相同的預備標籤。一個版本可以有多個標籤。
Secrets Manager 永遠不會移除已標記版本,但會將未標記版本視為已遭取代。如果版本超過 100 個,Secrets Manager 會移除已棄用版本。Secrets Manager 不會刪除建立時間不到 24 小時的版本。
下圖顯示了具有的秘密 AWS 標籤版本和客戶標籤版本。未標記版本將被視為已遭取代,並將在未來某個時間點被 Secrets Manager 移除。
