Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Apa yang ada dalam rahasia Secrets Manager?
Dalam Secrets Manager, rahasia terdiri dari informasi rahasia, nilai rahasia, ditambah metadata tentang rahasia. Nilai rahasia dapat berupa string atau biner.
Untuk menyimpan beberapa nilai string dalam satu rahasia, kami sarankan Anda menggunakan string teks JSON dengan pasangan nilai kunci, misalnya:
{ "host" : "ProdServer-01.databases.example.com", "port" : "8888", "username" : "administrator", "password" : "EXAMPLE-PASSWORD", "dbname" : "MyDatabase", "engine" : "mysql" }
Untuk rahasia database, jika Anda ingin mengaktifkan rotasi otomatis, rahasia harus berisi informasi koneksi untuk database dalam struktur JSON yang benar. Untuk informasi selengkapnya, lihat Struktur rahasia JSON AWS Secrets Manager.
Metadata
Metadata rahasia meliputi:
-
Nama Sumber Daya Amazon (ARN) dengan format berikut:
arn:aws:secretsmanager:<Region>:<AccountId>:secret:SecretName-6RandomCharactersSecrets Manager mencakup enam karakter acak di akhir nama rahasia untuk membantu memastikan bahwa ARN rahasia itu unik. Jika rahasia asli dihapus, dan kemudian rahasia baru dibuat dengan nama yang sama, kedua rahasia memiliki ARN yang berbeda karena karakter ini. Pengguna dengan akses ke rahasia lama tidak secara otomatis mendapatkan akses ke rahasia baru karena ARN berbeda.
-
Nama rahasia, deskripsi, kebijakan sumber daya, dan tag.
-
ARN untuk kunci enkripsi, yang digunakan Secrets Manager untuk mengenkripsi dan mendekripsi nilai rahasia. AWS KMS key Secrets Manager menyimpan teks rahasia dalam bentuk terenkripsi dan mengenkripsi rahasia dalam perjalanan. Lihat Enkripsi rahasia dan dekripsi di AWS Secrets Manager.
-
Informasi tentang cara memutar rahasia, jika Anda mengatur rotasi. Lihat Putar AWS Secrets Manager rahasia.
Secrets Manager menggunakan kebijakan izin IAM untuk memastikan bahwa hanya pengguna yang berwenang yang dapat mengakses atau memodifikasi rahasia. Lihat Otentikasi dan kontrol akses untuk AWS Secrets Manager.
Rahasia memiliki versi yang menyimpan salinan nilai rahasia terenkripsi. Ketika Anda mengubah nilai rahasia, atau rahasia diputar, Secrets Manager membuat versi baru. Lihat Versi rahasia.
Anda dapat menggunakan rahasia di beberapa Wilayah AWS dengan mereplikasi itu. Ketika Anda mereplikasi rahasia, Anda membuat salinan rahasia asli atau primer yang disebut rahasia replika. Rahasia replika tetap terkait dengan rahasia utama. Lihat Replikasi AWS Secrets Manager rahasia di seluruh Wilayah.
Lihat Buat dan kelola rahasia dengan AWS Secrets Manager.
Versi rahasia
Rahasia memiliki versi yang menyimpan salinan nilai rahasia terenkripsi. Ketika Anda mengubah nilai rahasia, atau rahasia diputar, Secrets Manager membuat versi baru.
Secrets Manager tidak menyimpan riwayat rahasia linier dengan versi. Sebagai gantinya, ia melacak tiga versi tertentu dengan memberi label:
Versi saat ini -
AWSCURRENTVersi sebelumnya -
AWSPREVIOUSVersi yang tertunda (selama rotasi) -
AWSPENDING
Rahasia selalu memiliki versi berlabelAWSCURRENT, dan Secrets Manager mengembalikan versi tersebut secara default saat Anda mengambil nilai rahasia.
Anda juga dapat memberi label versi dengan label Anda sendiri update-secret-version-stagedengan memanggil AWS CLI. Anda dapat melampirkan hingga 20 label ke versi secara rahasia. Dua versi rahasia tidak dapat memiliki label pementasan yang sama. Versi dapat memiliki beberapa label.
Secrets Manager tidak pernah menghapus versi berlabel, tetapi versi yang tidak berlabel dianggap usang. Secrets Manager menghapus versi usang ketika ada lebih dari 100. Secrets Manager tidak menghapus versi yang dibuat kurang dari 24 jam yang lalu.
Gambar berikut menunjukkan rahasia yang memiliki versi AWS berlabel dan versi berlabel pelanggan. Versi tanpa label dianggap usang dan akan dihapus oleh Secrets Manager di beberapa titik di masa mendatang.
