本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
由其他 AWS 服务托管的 AWS Secrets Manager 密钥
许多 AWS 服务在 AWS Secrets Manager 中存储和使用密钥。在某些情况下,这些密钥是托管密钥,这意味着创建这些密钥的服务可以帮助管理它们。例如,一些托管密钥包括托管轮换,因此您不必自己配置轮换。托管服务还可能限制您在没有恢复期的情况下更新密钥或删除它们,这有助于防止中断,因为托管服务依赖于密钥。
托管密钥使用包括管理服务 ID 的命名约定来帮助识别它们。
Secret name: ServiceID!MySecret Secret ARN : arn:aws:us-east-1:ServiceID!MySecret-a1b2c3
管理密钥的服务的 ID
appflow– Amazon AppFlowdatabrew– AWS Glue DataBrewdatasync– AWS DataSyncdirectconnect– AWS Direct Connectecs-sc– Amazon Elastic Container Serviceevents– Amazon EventBridgemarketplace-deployment– AWS Marketplaceopsworks-cm– AWS OpsWorks for Chef Automaterds– Amazon RDS 和 Auroraredshift– Amazon Redshiftsqlworkbench– Amazon Redshift 查询编辑器 v2
要查找由其他 AWS 服务管理的密钥,请参阅查找托管密钥。
有关使用密钥的服务的完整列表,请参阅AWS 使用 AWS Secrets Manager 机密的服务。
Amazon AppFlow
在 Amazon 中 AppFlow,当您将一个 SaaS 应用程序配置为源或目标时,您就创建了一个连接。这包括连接到 SaaS 应用程序所需的信息,例如身份验证令牌、用户名和密码。亚马逊将您的连接数据 AppFlow 存储在带前缀的 Secrets Manager 托管密钥中appflow。存储密钥的费用已包含在亚马逊的费用中 AppFlow。有关更多信息,请参阅亚马逊 AppFlow 用户指南 AppFlow中的亚马逊数据保护。
AWS Glue DataBrew
AWS Glue DataBrew 提供 DETERMINISTIC_DECRYPT、DETERMINISTIC_ENCRYPT 和 CRYPTOGRAPHIC_HASH 配方步骤来转换数据集中的个人身份信息(PII),该数据集使用存储在 Secrets Manager 密钥中的加密密钥。如果您使用 DataBrew 默认密钥来存储加密密钥,则 DataBrew 会创建一个带有前缀的托管密钥databrew。存储密钥的费用包含在使用费用中 DataBrew。
AWS DataSync
为了收集有关本地存储系统的信息,AWS DataSyncDiscovery 使用存储系统管理界面的凭据。 DataSync 将这些凭据存储在带前缀的 Secrets Manager 托管密钥中datasync。您需要为此密钥支付费用。有关更多信息,请参阅AWS DataSync用户指南中的将本地存储系统添加到 DataSync Discovery。
AWS Direct Connect
AWS Direct Connect 将连接关联密钥名称和连接关联密钥对(CKN/CAK 对)存储在带有前缀 directconnect 的托管密钥中。密钥的成本包含在 AWS Direct Connect 的费用中。要更新此密钥,您必须使用 AWS Direct Connect 而非 Secrets Manager。有关更多信息,请参阅 AWS Direct Connect 用户指南中的将 MACsec CKN/CAK 与 LAG 关联。
Amazon Elastic Container Service
当你使用 Amazon ECS Service Connect 时,亚马逊 ECS 使用 Secrets Manager 密钥来存储 AWS Private Certificate Authority TLS 证书。存储密钥的费用包含在 Amazon ECS 的费用中。要更新密钥,您必须使用 Amazon ECS 而不是 Secrets Manager。有关更多信息,请参阅《亚马逊弹性容器服务开发者指南》中的带有 Service Connect 的 TLS。
Amazon EventBridge
当您创建 Amazon EventBridge API 目标时,会将其连接 EventBridge 存储在带有前缀的 Secrets Manager 托管密钥中events。存储此密钥的成本包含在使用 API 目标的费用中。要更新此密钥,您必须使用 EventBridge 而非 Secrets Manager。有关更多信息,请参阅 Amazon EventBridge 用户指南中的 API 目的地。
AWS Marketplace
当您使用 AWS Marketplace Quick Launch 时,AWS Marketplace 会将您的软件与许可证密钥一起分发。AWS Marketplace 会将许可证密钥作为 Secrets Manager 托管秘密存储在您的账户中。存储秘密的成本包含在 AWS Marketplace 的费用中。要更新此密钥,您必须使用 AWS Marketplace 而非 Secrets Manager。有关更多信息,请参阅《AWS Marketplace 卖家指南》中的配置 Quick Launch。
AWS OpsWorks for Chef Automate
当您在中创建新服务器时AWS OpsWorks CM, OpsWorks CM 会将服务器的信息存储在 Secrets Manager 托管密钥中,前缀为前缀opsworks-cm。此密钥的成本包含在 AWS OpsWorks 的费用中。有关更多信息,请参阅 AWS OpsWorks 用户指南中的集成 AWS Secrets Manager。
Amazon RDS 和 Aurora
要管理包括 Aurora 在内的 Amazon Relational Database Service(Amazon RDS)的主用户凭证,Amazon RDS 可以为您创建托管密钥。您需要为此密钥支付费用。Amazon RDS 还管理这些凭证的轮换。有关更多信息,请参阅《Amazon RDS 用户指南》中的使用 Amazon RDS 和 AWS Secrets Manager 管理密码和《Amazon Aurora 用户指南》中的使用 Amazon Aurora 和 AWS Secrets Manager 管理密码。
有关其他 Amazon RDS 凭证,请参阅 创建 AWS Secrets Manager 数据库密钥。
Amazon Redshift
要管理 Amazon Redshift 的管理员凭证,Amazon Redshift 可以为您创建托管秘密。您需要为此密钥支付费用。Amazon Redshift 还管理这些凭证的轮换。有关更多信息,请参阅《Amazon Redshift 管理指南》中的使用 AWS Secrets Manager 管理 Amazon Redshift 管理员密码。
有关其他 Amazon Redshift 凭证,请参阅 创建 AWS Secrets Manager 数据库密钥。要在调用数据 API 时对凭证使用秘密,请参阅使用 Amazon Redshift 数据 API。要在使用 Amazon Redshift 查询编辑器连接到数据库时使用秘密,请参阅《Amazon Redshift 管理指南》中的使用查询编辑器查询数据库和 Amazon Redshift 查询编辑器 v2。
Amazon Redshift 查询编辑器 v2
使用 Amazon Redshift 查询编辑器 v2 连接到数据库时,Amazon Redshift 可将您的凭证存储在带有前缀 sqlworkbench 的 Secrets Manager 托管密钥中。存储此密钥的成本包含在使用 Amazon Redshift 的费用中。要更新此密钥,您必须使用 Amazon Redshift 而非 Secrets Manager。有关更多信息,请参阅《Amazon Redshift 管理指南》中的 使用查询编辑器 v2。
