Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cambiar la clave de cifrado de un AWS Secrets Manager secreta
Secrets Manager utiliza el cifrado de sobres con AWS KMS claves y claves de datos para proteger cada valor secreto. Para cada secreto, puede elegir qué KMS clave usar. Puede utilizar el Clave administrada de AWS aws/secretsmanager, o puede usar una clave gestionada por el cliente. En la mayoría de los casos, se recomienda utilizar aws/secretsmanager, cuyo uso no tiene costo alguno. Si necesita acceder al secreto desde otra persona Cuenta de AWS, o si quieres usar tu propia KMS clave para poder rotarla o aplicarle una política de claves, usa una clave administrada por el cliente. Debes haberlo hechoPermisos para la clave KMS. Para obtener información sobre los costos por usar una clave administrada por el cliente, consulte Precios.
Puede cambiar la clave de cifrado de un secreto. Por ejemplo, si quieres acceder al secreto desde otra cuenta y el secreto está cifrado actualmente mediante el AWS clave administradaaws/secretsmanager, puedes cambiar a una clave administrada por el cliente.
sugerencia
Si quieres rotar tu clave administrada por el cliente, le recomendamos usar AWS KMS rotación automática de teclas. Para obtener más información, consulte Rotación AWS KMS llaves.
Al cambiar la clave de cifrado, Secrets Manager vuelve a cifrar AWSCURRENT las AWSPREVIOUS versiones con la nueva clave. AWSPENDING Para evitar ocultarte el secreto, Secrets Manager mantiene todas las versiones existentes cifradas con la clave anterior. Esto significa que puedes descifrar todas AWSCURRENT las AWSPENDING AWSPREVIOUS versiones con la clave anterior o con la nueva clave. Si no tienes kms:Decrypt permiso para usar la clave anterior, al cambiar la clave de cifrado, Secrets Manager no podrá descifrar las versiones secretas para volver a cifrarlas. En este caso, las versiones existentes no se vuelven a cifrar.
Para que solo se AWSCURRENT pueda descifrar con la nueva clave de cifrado, cree una nueva versión del secreto con la nueva clave. Luego, para poder descifrar la versión AWSCURRENT secreta, debe tener permiso para usar la nueva clave.
Si desactiva la clave de cifrado anterior, no podrá descifrar ninguna versión secreta excepto AWSCURRENT, AWSPENDING y AWSPREVIOUS. Si tiene otras versiones etiquetadas como secretas para las que desea conservar el acceso, tendrá que volver a crear esas versiones con la nueva clave de cifrado mediante AWS CLI.
Cambiar la clave de cifrado de un secreto (consola)
Abra la consola de Secrets Manager en https://console.aws.amazon.com/secretsmanager/
. -
En la lista de secretos, elija el secreto.
-
En la sección Detalles de secreto, elija Acciones y, a continuación, elija Editar clave de cifrado.
AWS CLI
Si cambia la clave de cifrado anterior para un secreto y luego desactiva la clave de cifrado anterior, no podrá descifrar ninguna versión de secreto excepto AWSCURRENT, AWSPENDING y AWSPREVIOUS. Si tiene otras versiones etiquetadas como secretas para las que desea conservar el acceso, tendrá que volver a crear esas versiones con la nueva clave de cifrado mediante AWS CLI.
Para cambiar la clave de cifrado de un secreto (AWS CLI)
-
En el siguiente
update-secretejemplo, se actualiza la KMS clave utilizada para cifrar el valor secreto. La KMS clave debe estar en la misma región que el secreto.aws secretsmanager update-secret \ --secret-id MyTestSecret \ --kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE -
(Opcional) Si tiene versiones de secretos con etiquetas personalizadas, para volver a cifrarlas con la nueva clave, debe crear nuevamente esas versiones.
Cuando utiliza ingresa comandos en un shell de comandos, existe el riesgo de que se acceda al historial de comandos o de que las utilidades tengan acceso a sus parámetros de comando. Consulte Reducción de los riesgos de usar AWS CLI para almacenar sus secretos de AWS Secrets Manager.
-
Obtenga el valor de la versión de secreto.
aws secretsmanager get-secret-value \ --secret-id MyTestSecret \ --version-stage MyCustomLabelAnote el valor del secreto.
-
Cree una nueva versión con ese valor.
aws secretsmanager put-secret-value \ --secret-id testDescriptionUpdate \ --secret-string "SecretValue" \ --version-stages "MyCustomLabel"
-
