Was ist in einem Secrets Manager Manager-Geheimnis enthalten? - AWS Secrets Manager
MetadatenGeheime Versionen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Was ist in einem Secrets Manager Manager-Geheimnis enthalten?

Im Secrets Manager besteht ein Secret aus Secret-Informationen, dem Secret-Wert sowie Metadaten über das Secret. Ein Secret-Wert kann eine Zeichenfolge oder ein Binärwert sein.

Um mehrere Zeichenkettenwerte in einem Geheimnis zu speichern, empfehlen wir, eine JSON-Textzeichenfolge mit Schlüssel-Wert-Paaren zu verwenden, zum Beispiel:

{
  "host"       : "ProdServer-01.databases.example.com",
  "port"       : "8888",
  "username"   : "administrator",
  "password"   : "EXAMPLE-PASSWORD",
  "dbname"     : "MyDatabase",
  "engine"     : "mysql"
}

Wenn Sie bei Datenbankgeheimnissen die automatische Rotation aktivieren möchten, muss das Geheimnis Verbindungsinformationen für die Datenbank in der richtigen JSON-Struktur enthalten. Weitere Informationen finden Sie unter JSON-Struktur von AWS Secrets Manager Geheimnissen .

Metadaten

Die Metadaten eines Secrets enthalten:

  • Ein Amazon-Ressourcenname (ARN) mit dem folgenden Format:

    arn:aws:secretsmanager:<Region>:<AccountId>:secret:SecretName-6RandomCharacters

    Secrets Manager enthält sechs zufällige Zeichen am Ende des Secret-Namens, um sicherzustellen, dass der Secret-ARN einzigartig ist. Wenn das ursprüngliche Secret gelöscht und anschließend ein neues Secret mit demselben Namen erstellt wird, haben die beiden Secrets aufgrund dieser Zeichen unterschiedliche ARNs. Benutzer mit Zugriff auf das alte Secret erhalten nicht automatisch Zugriff auf das neue Secret, da die ARNs unterschiedlich sind.

  • Der Name des Secrets, eine Beschreibung, eine Ressourcenrichtlinie und Tags.

  • Der ARN für einen Verschlüsselungsschlüssel, den Secrets Manager zum Verschlüsseln und Entschlüsseln des geheimen Werts verwendet. AWS KMS key Secrets Manager speichert den Secret-Text in verschlüsselter Form und verschlüsselt das Secret während der Übertragung. Siehe Geheime Verschlüsselung und Entschlüsselung in AWS Secrets Manager.

  • Informationen zum Rotieren des Secrets, wenn Sie die Rotation einrichten. Siehe AWS Secrets Manager Geheimnisse rotieren.

Secrets Manager verwendet IAM-Berechtigungsrichtlinien, um sicherzustellen, dass nur autorisierte Benutzer auf ein Geheimnis zugreifen oder es ändern können. Siehe Authentifizierung und Zugriffskontrolle für AWS Secrets Manager.

Ein Geheimnis hat Versionen, die Kopien des verschlüsselten Geheimwerts enthalten. Wenn Sie den Secret-Wert ändern oder das Secret rotiert wird, erstellt Secrets Manager eine neue Version. Siehe Geheime Versionen.

Sie können ein Geheimnis für mehrere verwenden, AWS-Regionen indem Sie es replizieren. Wenn Sie ein Secret replizieren, erstellen Sie eine Kopie des Originals oder des primären Secrets. Diese Kopie wird als Secret-Replikat bezeichnet. Das Secret-Replikat bleibt mit dem primären Secret verknüpft. Siehe Replizieren Sie AWS Secrets Manager Geheimnisse in allen Regionen.

Siehe Geheimnisse erstellen und verwalten mit AWS Secrets Manager.

Geheime Versionen

Ein Geheimnis hat Versionen, die Kopien des verschlüsselten geheimen Werts enthalten. Wenn Sie den Secret-Wert ändern oder das Secret rotiert wird, erstellt Secrets Manager eine neue Version.

Secrets Manager speichert keinen linearen Verlauf von Secrets mit Versionen. Stattdessen verfolgt es drei spezifische Versionen, indem es sie kennzeichnet:

  • Die aktuelle Version – AWSCURRENT

  • Die vorherige Version – AWSPREVIOUS

  • Die ausstehende Version (während der Rotation) – AWSPENDING

Ein Secrets verfügt immer über eine Version mit der Bezeichnung AWSCURRENT, und Secrets Manager gibt diese Version standardmäßig zurück, wenn Sie den Secrets-Wert abrufen.

Sie können Versionen auch mit Ihren eigenen Labels kennzeichnen, indem Sie die aufrufen update-secret-version-stage AWS CLI. Sie können einem Secret bis zu 20 Bezeichnungen zu Versionen anfügen. Zwei Versionen eines Secrets können nicht dieselbe Staging-Bezeichnung besitzen. Versionen können mehrere Bezeichnungen haben.

Secrets Manager entfernt niemals gekennzeichnete Versionen, Versionen ohne Bezeichnung gelten jedoch als veraltet. Secrets Manager entfernt veraltete Versionen, wenn mehr als 100 davon vorhanden sind. Secrets Manager entfernt keine Versionen, die vor weniger als 24 Stunden erstellt wurden.

Die folgende Abbildung zeigt ein Geheimnis AWS mit beschrifteten Versionen und vom Kunden beschrifteten Versionen. Die Versionen ohne Kennzeichnung gelten als veraltet und werden von Secrets Manager irgendwann in der Zukunft entfernt.

A secret that contains multiple secret versions, some with labels such as AWSCURRENT or MyLabelA, and some without labels.