Ändern Sie den Verschlüsselungsschlüssel für ein AWS Secrets Manager Geheimnis - AWS Secrets Manager
AWS CLI

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ändern Sie den Verschlüsselungsschlüssel für ein AWS Secrets Manager Geheimnis

Secrets Manager verwendet eine Umschlagverschlüsselung mit AWS KMS Schlüsseln und Datenschlüsseln, um jeden geheimen Wert zu schützen. Für jedes Geheimnis können Sie wählen, welcher KMS Schlüssel verwendet werden soll. Sie können den Von AWS verwalteter Schlüssel aws/secretsmanager oder einen vom Kunden verwalteten Schlüssel verwenden. In den meisten Fällen empfehlen wir die Nutzung von aws/secretsmanager und es fallen keine Kosten für die Nutzung an. Wenn Sie von einem anderen auf das Geheimnis zugreifen müssen oder wenn Sie Ihren eigenen KMS Schlüssel verwenden möchten AWS-Konto, sodass Sie ihn rotieren oder eine Schlüsselrichtlinie darauf anwenden können, verwenden Sie einen. Kundenverwalteter Schlüssel Sie müssen Berechtigungen für den Schlüssel KMS haben. Informationen zu den Kosten der Verwendung eines vom Kunden verwalteten Schlüssels finden Sie unter Preisgestaltung.

Sie können den Verschlüsselungscode für Ihr Secret ändern. Wenn Sie beispielsweise von einem anderen Konto aus auf das Geheimnis zugreifen möchten und das Geheimnis derzeit mit dem AWS verwalteten Schlüssel verschlüsselt istaws/secretsmanager, können Sie zu einem wechseln Kundenverwalteter Schlüssel.

Tipp

Wenn Sie Ihren wechseln möchten Kundenverwalteter Schlüssel, empfehlen wir die AWS KMS automatische Schlüsselrotation. Weitere Informationen finden Sie unter AWS KMS Tasten drehen.

Wenn Sie den Verschlüsselungsschlüssel ändern, verschlüsselt Secrets Manager AWSCURRENTAWSPENDING, und AWSPREVIOUS Versionen erneut mit dem neuen Schlüssel. Um zu verhindern, dass Sie aus dem Geheimnis ausgesperrt werden, speichert Secrets Manager alle vorhandenen Versionen mit dem vorherigen Schlüssel verschlüsselt. Das bedeutet AWSCURRENTAWSPENDING, dass Sie AWSPREVIOUS Versionen mit dem vorherigen Schlüssel oder dem neuen Schlüssel entschlüsseln können. Wenn Sie keine kms:Decrypt Rechte für den vorherigen Schlüssel haben, kann Secrets Manager beim Ändern des Verschlüsselungsschlüssels die geheimen Versionen nicht entschlüsseln, um sie erneut zu verschlüsseln. In diesem Fall werden die vorhandenen Versionen nicht erneut verschlüsselt.

Damit es nur mit dem neuen Verschlüsselungsschlüssel entschlüsselt werden AWSCURRENT kann, erstellen Sie eine neue Version des Geheimnisses mit dem neuen Schlüssel. Um dann die AWSCURRENT geheime Version entschlüsseln zu können, benötigen Sie die Erlaubnis für den neuen Schlüssel.

Wenn Sie den vorherigen Verschlüsselungsschlüssel deaktivieren, können Sie keine Secret-Versionen außer AWSCURRENT, AWSPENDING und AWSPREVIOUS entschlüsseln. Wenn Sie über andere als Secret gekennzeichnete Versionen verfügen, auf die Sie weiterhin Zugriff haben möchten, müssen Sie diese Versionen mit dem neuen Verschlüsselungsschlüssel neu erstellen. Verwenden Sie dazu AWS CLI.

Informationen zum Ändern des Verschlüsselungsschlüssels für ein Secret (Konsole)

  1. Öffnen Sie die Secrets Manager Manager-Konsole unter https://console.aws.amazon.com/secretsmanager/.

  2. Wählen Sie aus der Liste der Secrets Ihr Secret aus.

  3. Wählen Sie auf der Seite Secret details (Secret-Details) im Abschnitt Secrets details (Secret-Details) die Option Actions (Aktionen) und danach Edit encryption key (Verschlüsselungsschlüssel bearbeiten).

AWS CLI

Wenn Sie den Verschlüsselungsschlüssel für ein Secret ändern und dann den vorherigen Verschlüsselungsschlüssel deaktivieren, können Sie keine Secret-Versionen außer AWSCURRENT, AWSPENDING und AWSPREVIOUS entschlüsseln. Wenn Sie über andere als Secret gekennzeichnete Versionen verfügen, auf die Sie weiterhin Zugriff haben möchten, müssen Sie diese Versionen mit dem neuen Verschlüsselungsschlüssel neu erstellen. Verwenden Sie dazu AWS CLI.

Informationen zum Ändern des Verschlüsselungsschlüssels für ein Secret (AWS CLI)

  1. Im folgenden update-secretBeispiel wird der KMS Schlüssel aktualisiert, mit dem der geheime Wert verschlüsselt wurde. Der KMS Schlüssel muss sich in derselben Region wie der geheime Schlüssel befinden.

    aws secretsmanager update-secret \
      --secret-id MyTestSecret \
      --kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE

  2. (Optional) Wenn Sie geheime Versionen mit benutzerdefinierten Bezeichnungen haben, müssen Sie diese Versionen neu erstellen, um sie mit dem neuen Schlüssel erneut zu verschlüsseln.

    Wenn Sie Befehle in eine Befehls-Shell eingeben, besteht die Gefahr, dass auf den Befehlsverlauf zugegriffen wird oder Serviceprogramme Zugriff auf Ihre Befehlsparameter haben. Siehe Reduzieren von Risiken durch die Verwendung der AWS CLI zur Speicherung Ihrer AWS Secrets Manager-Secrets.

    1. Ermittelt den Wert der Secret-Version.

      aws secretsmanager get-secret-value \
      --secret-id MyTestSecret \
      --version-stage MyCustomLabel

      Notieren Sie sich den Secret-Wert.

    2. Erstellen Sie eine neue Version mit diesem Wert.

      aws secretsmanager put-secret-value \
    --secret-id testDescriptionUpdate \
    --secret-string "SecretValue" \
    --version-stages "MyCustomLabel"