Erstelle eine AWS Secrets Manager Secret - AWS Secrets Manager
AWS CLIAWS SDK

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstelle eine AWS Secrets Manager Secret

Ein Geheimnis kann ein Passwort, ein Satz von Anmeldeinformationen wie ein Benutzername und ein Passwort, ein OAuth Token oder andere geheime Informationen sein, die Sie in verschlüsselter Form in Secrets Manager speichern.

Tipp

Für Amazon RDS - und Amazon Redshift Redshift-Administrator-Benutzeranmeldedaten empfehlen wir die Verwendung von Managed Secrets. Sie erstellen das verwaltete Geheimnis über den Verwaltungsservice und können dann die verwaltete Rotation verwenden.

Wenn Sie die Konsole verwenden, um Datenbankanmeldeinformationen für eine Quelldatenbank zu speichern, die in andere Regionen repliziert wird, enthält der geheime Schlüssel Verbindungsinformationen für die Quelldatenbank. Wenn Sie dann das Secret replizieren, sind die Replikate Kopien des Quellsecret und enthalten dieselben Verbindungsinformationen. Sie können dem Secret zusätzliche Schlüssel/Wert-Paare hinzufügen, um regionale Verbindungsinformationen aufzunehmen.

Um ein Geheimnis zu erstellen, benötigen Sie die durch die SecretsManagerReadWrite verwaltete Richtlinie gewährten Berechtigungen.

Secrets Manager generiert einen CloudTrail Protokolleintrag, wenn Sie ein Geheimnis erstellen. Weitere Informationen finden Sie unter AWS Secrets Manager Ereignisse protokollieren mit AWS CloudTrail.

Ein Secret erstellen (Konsole)

  1. Öffnen Sie die Secrets Manager Manager-Konsole unter https://console.aws.amazon.com/secretsmanager/.

  2. Wählen Sie Store a new secret (Ein neues Secret speichern).

  3. Führen Sie auf der Seite Choose secret type (Secret-Typ auswählen) die folgenden Schritte aus:

    1. Führen Sie für Geheimnistyp eine der folgenden Aktionen aus:

      • Um Datenbankanmeldedaten zu speichern, wählen Sie den Typ der zu speichernden Datenbankanmeldedaten aus. Wählen Sie dann die Datenbank aus und geben Sie dann die Anmeldeinformationen ein.

      • Um API Schlüssel, Zugriffstoken und Anmeldeinformationen zu speichern, die nicht für Datenbanken bestimmt sind, wählen Sie Anderer Geheimtyp.

        Geben Sie unter Schlüssel/Wert-Paare entweder Ihr Geheimnis in JSON Schlüssel/Wert-Paare ein, oder wählen Sie die Registerkarte Klartext und geben Sie das Geheimnis in einem beliebigen Format ein. Sie können bis zu 65536 Bytes im Secret speichern. Hier einige Beispiele:

        API key

        Geben Sie als Schlüssel/Wert-Paare ein:

        ClientID : my_client_id

        ClientSecret : wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

        OAuth token

        Geben Sie als Klartext ein:

        AKIAI44QH8DHBEXAMPLE

        Digital certificate

        Geben Sie als Klartext ein:

        -----BEGIN CERTIFICATE-----
EXAMPLE
-----END CERTIFICATE-----
        Private key

        Geben Sie als Klartext ein:

        –--- BEGIN PRIVATE KEY ----
EXAMPLE
––-- END PRIVATE KEY –---

    2. Wählen Sie für den Verschlüsselungsschlüssel AWS KMS key den Secrets Manager verwendet, um den geheimen Wert zu verschlüsseln. Weitere Informationen finden Sie unter Ver- und Entschlüsselung von Secrets.

      • In den meisten Fällen wählen Sie aws/secretsmanager, um den Von AWS verwalteter Schlüssel für Secrets Manager. Für die Verwendung dieses Schlüssels fallen keine Kosten an.

      • Wenn Sie von einem anderen auf das Geheimnis zugreifen müssen AWS-Konto, oder wenn Sie Ihren eigenen KMS Schlüssel verwenden möchten, sodass Sie ihn rotieren oder eine Schlüsselrichtlinie darauf anwenden können, wählen Sie einen vom Kunden verwalteten Schlüssel aus der Liste aus oder klicken Sie auf Neuen Schlüssel hinzufügen, um einen Schlüssel zu erstellen. Informationen zu den Kosten der Verwendung eines vom Kunden verwalteten Schlüssels finden Sie unter Preisgestaltung.

        Sie müssen Berechtigungen für den Schlüssel KMS haben. Informationen zum kontoübergreifenden Zugriff finden Sie unter Greifen Sie von einem anderen Konto aus auf AWS Secrets Manager Geheimnisse zu.

    3. Wählen Sie Weiter.

  4. Führen Sie auf der Seite Configure secret (Secret konfigurieren) die folgenden Schritte aus:

    1. Geben Sie einen beschreibenden Secret-Namen und eine Beschreibung ein. Geheime Namen können 1—512 alphanumerische Zeichen und /_+ =.@- Zeichen enthalten.

    2. (Optional) Im Abschnitt Tags können Sie Tags zu Ihrem Secret hinzufügen. Informationen zu Tagging-Strategien finden Sie unter Schlagwort AWS Secrets Manager secrets. Speichern Sie keine sensiblen Daten in Tags, da sie nicht verschlüsselt sind.

    3. (Optional) Um eine Ressourcenrichtlinie zu Ihrem Secret hinzuzufügen, wählen Sie unter Resource permissions (Ressourcenberechtigungen) die Option Edit permissions (Berechtigungen bearbeiten) aus. Weitere Informationen finden Sie unter Ressourcenbasierte Richtlinien.

    4. (Optional) Um unter Geheimnis replizieren Ihr Geheimnis auf ein anderes zu replizieren AWS-Region, wählen Sie Geheimnis replizieren aus. Sie können Ihr Secret jetzt replizieren oder zurückkommen und es später replizieren. Weitere Informationen finden Sie unter Replizieren Sie Geheimnisse regionsübergreifend.

    5. Wählen Sie Weiter.

  5. (Optional) Auf der Seite Rotation konfigurieren können Sie die automatische Rotation aktivieren. Sie können die Rotation auch vorerst ausschalten und später einschalten. Weitere Informationen finden Sie unter Rotieren von -Geheimnissen. Wählen Sie Weiter.

  6. Prüfen Sie auf der Seite Review (Prüfen) die Secret-Details und wählen Sie Store (Speichern).

    Secrets Manager kehrt zur Liste der Secrets zurück. Wenn Ihr Secret nicht angezeigt wird, wählen Sie den Aktualisieren-Button aus.

AWS CLI

Wenn Sie Befehle in eine Befehls-Shell eingeben, besteht die Gefahr, dass auf den Befehlsverlauf zugegriffen wird oder Serviceprogramme Zugriff auf Ihre Befehlsparameter haben. Siehe Reduzieren Sie die Risiken, die mit der Verwendung von AWS CLI zur Aufbewahrung Ihrer AWS Secrets Manager Geheimnisse verbunden sind.

Beispiel Erstellen Sie ein Geheimnis aus Datenbankanmeldedaten in einer Datei JSON

Das folgende create-secret-Beispiel erstellt ein Secret anhand von Anmeldeinformationen in einer Datei. Weitere Informationen finden Sie unter Laden AWS CLI Parameter aus einer Datei im AWS CLI Benutzerleitfaden.

Damit Secrets Manager das Geheimnis rotieren kann, müssen Sie sicherstellen, dass es JSON mit dem übereinstimmtJSONStruktur eines Geheimnisses.

aws secretsmanager create-secret \
    --name MyTestSecret \
    --secret-string file://mycreds.json

Inhalt von mycreds.json:

{
    "engine": "mysql",
    "username": "saanvis",
    "password": "EXAMPLE-PASSWORD",
    "host": "my-database-endpoint.us-west-2.rds.amazonaws.com",
    "dbname": "myDatabase",
    "port": "3306"
}
Beispiel Ein Secret erstellen

Das folgende create-secret-Beispiel erstellt ein Secret mit zwei Schlüssel-/Wert-Paaren.

aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"

AWS SDK

Um ein Geheimnis zu erstellen, verwenden Sie eines der AWS SDKs, benutze die CreateSecretAktion. Weitere Informationen finden Sie unter AWS SDKs.