本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
轮换 Secrets Manager 托管的外部机密
Secrets Manager 已与精选软件供应商合作,提供托管外部机密。此功能可通过自动处理轮换来帮助客户管理密钥生命周期。借助托管外部密钥,客户不再需要为存储在不同合作伙伴中的每个密钥维护特定的轮换逻辑。这将由 Secrets Manager 处理。
要查看已加入 Secrets Manager 的合作伙伴列表,请参阅托管外部机密合作伙伴。
在控制台中设置轮换
要为通过指定相应集成合作伙伴指定的密钥类型和值创建的现有托管外部密钥配置轮换,请使用以下步骤:
打开 Secrets Manager 控制台。
从列表中选择您的托管外部密钥。
选择配置选项卡。
在旋转配置部分,选择编辑旋转。
启用 Automatic rotation(自动轮换)。
-
在 “轮换元数据” 下,添加轮换所需的所有合作伙伴特定的元数据:
请按照您的集成合作伙伴提供的指南获取其他必需的元数据
-
在密钥轮换的服务权限中,选择或创建轮换的 IAM 角色:
选择 “创建新角色” 可自动创建具有必要权限的角色
或者为你的合作伙伴选择一个具有适当权限的现有角色
默认情况下,权限的范围仅限于创建密钥的区域中的个人合作伙伴
设置轮换时间表(例如,每 30 天自动轮换一次)。
选择 “保存” 以应用旋转配置。
在此过程中配置的两个关键元数据字段是:
| 字段 | 说明 |
|---|---|
| ExternalSecretRotationMetadata | 轮换所需的合作伙伴特定元数据,例如 Salesforce 的 API 版本 |
| ExternalSecretRotationRoleArn | 用于轮换的 IAM 角色的 ARN,权限范围仅限于集成合作伙伴 |
有关这些字段的更多信息,请参阅使用 Secrets Manager 托管的外部密钥管理第三方机密。
使用 CLI 设置轮换
运行以下命令为 Salesforce 密钥设置轮换。此命令指定密钥 ID、轮换的 IAM 角色 ARN、轮换计划以及轮换过程所需的任何合作伙伴特定元数据。
aws secretsmanager rotate-secret \ --secret-id SampleSecret \ --external-secret-rotation-role-arn arn:aws:iam::123412341234:role/xyz \ --rotation-rules AutomaticallyAfterDays=1 \ --external-secret-rotation-metadata '[{"Key":"apiVersion","Value":"v65.0"}]'
