Modificare la chiave di crittografia per un AWS Secrets Manager segreto - AWS Secrets Manager
AWS CLI

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Modificare la chiave di crittografia per un AWS Secrets Manager segreto

Secrets Manager utilizza la crittografia a busta con AWS KMS chiavi e chiavi dati per proteggere ogni valore segreto. Per ogni segreto, puoi scegliere quale chiave KMS usare. Puoi usare Chiave gestita da AWS aws/secretsmanager oppure puoi usare una chiave gestita dal cliente. Nella maggior parte dei casi, consigliamo di usare aws/secretsmanager, che non presenta costi aggiuntivi per l'utilizzo. Se devi accedere al segreto da un altro Account AWS o se desideri utilizzare la tua chiave KMS in modo da poterla ruotare o applicare una politica chiave, usa a. chiave gestita dal clienteÈ necessario avere le Autorizzazioni per la chiave KMS. Per informazioni sui costi di utilizzo di una chiave gestita dal cliente, consulta la sezione Prezzi.

Puoi modificare la chiave di crittografia per il segreto. Ad esempio, se desideri accedere al segreto da un altro account e il segreto è attualmente crittografato utilizzando la chiave AWS gestitaaws/secretsmanager, puoi passare a un. chiave gestita dal cliente

Suggerimento

Se desideri ruotare il tuo chiave gestita dal cliente, ti consigliamo di utilizzare la rotazione AWS KMS automatica dei tasti. Per ulteriori informazioni, consulta Rotazione AWS KMS dei tasti.

Quando si modifica la chiave di crittografia, Secrets Manager cripta nuovamente AWSCURRENT e AWSPENDING le AWSPREVIOUS versioni con la nuova chiave. Per evitare di nasconderti il segreto, Secrets Manager mantiene tutte le versioni esistenti crittografate con la chiave precedente. Ciò significa che è possibile decrittografare AWSCURRENT AWSPENDING le AWSPREVIOUS versioni con la chiave precedente o quella nuova.

Per fare in modo che AWSCURRENT possa essere decrittografato solo con la nuova chiave di crittografia, crea una nuova versione del segreto con la nuova chiave. Quindi, per poter decifrare la versione AWSCURRENT segreta, devi avere l'autorizzazione per la nuova chiave.

Se disattivi la chiave di crittografia precedente, non potrai decrittografare nessuna versione segreta ad eccezione di AWSCURRENT, AWSPENDING e AWSPREVIOUS. Se disponi di altre versioni segrete etichettate per le quali desideri mantenere l'accesso, devi ricreare tali versioni con la nuova chiave di crittografia utilizzando AWS CLI.

Per modificare la chiave di crittografia per un segreto (console)

  1. Apri la console di Secrets Manager all'indirizzo https://console.aws.amazon.com/secretsmanager/.

  2. Dall'elenco dei segreti, scegli il segreto.

  3. Nella pagina dei dettagli del segreto, nella sezione Secrets details (Dettagli segreti), scegli Actions (Operazioni), quindi scegli Edit encryption key (Modifica chiave di crittografia).

AWS CLI

Se modifichi la chiave di crittografia per un segreto e disattivi la chiave di crittografia precedente, non sarà possibile decrittografare nessuna versione segreta ad eccezione di AWSCURRENT, AWSPENDING e AWSPREVIOUS. Se disponi di altre versioni segrete etichettate per le quali desideri mantenere l'accesso, devi ricreare tali versioni con la nuova chiave di crittografia utilizzando AWS CLI.

Per modificare la chiave di crittografia per un segreto (AWS CLI)

  1. L'esempio di update-secret seguente mostra come aggiornare la chiave KMS utilizzata per crittografare il valore del segreto. La chiave KMS deve trovarsi nella stessa Regione del segreto.

    aws secretsmanager update-secret \
      --secret-id MyTestSecret \
      --kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE

  2. (Facoltativo) Se disponi di versioni segrete con etichette personalizzate, per poterle crittografare nuovamente utilizzando la nuova chiave è necessario ricrearle.

    Quando immetti i comandi in una shell dei comandi, c'è il rischio che la cronologia dei comandi sia accessibile o che le utilità abbiano accesso ai parametri dei comandi. Per informazioni, consulta Riduzione dei rischi dell'utilizzo di AWS CLI per archiviare i segreti AWS Secrets Manager.

    1. Ottieni il valore della versione segreta.

      aws secretsmanager get-secret-value \
      --secret-id MyTestSecret \
      --version-stage MyCustomLabel

      Annota il valore segreto.

    2. Crea una nuova versione con quel valore.

      aws secretsmanager put-secret-value \
    --secret-id testDescriptionUpdate \
    --secret-string "SecretValue" \
    --version-stages "MyCustomLabel"