跨區域複寫 AWS Secrets Manager 密碼 - AWS Secrets Manager
AWS CLIAWS SDK

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

跨區域複寫 AWS Secrets Manager 密碼

您可以複寫多個密碼, AWS 區域 以支援分散在這些區域的應用程式,以滿足區域存取和低延遲需求。如果您稍後需要,您可以將複本密碼升級為獨立機密碼,然後獨立設定複寫。機密管理員會複寫已加密的機密資料和中繼資料,例如跨越指定區域的標籤和資源政策。

複寫秘密的 ARN 與主要秘密的 ARN 基本相同,唯一差異在於 Region 部分,示例如下:

  • 主要機密:arn:aws:secretsmanager:Region1:123456789012:secret:MySecret-a1b2c3

  • 複本秘密:arn:aws:secretsmanager:Region2:123456789012:secret:MySecret-a1b2c3

如需複本機密的定價資訊,請參閱 AWS Secrets Manager 定價

當您針對可複製到其他區域的來源資料庫儲存資料庫憑證時,機密會包含來源資料庫的連線資訊。如果隨後複製機密,則複本是來源機密的副本,並包含相同的連線資訊。您可以將其他金鑰/值對新增到區域連線資訊的機密。

如果您對主要機密開啟輪換,則機密管理員會在主要區域中輪換機密,而新的機密值會傳播至所有相關聯的複本機密。您不必單獨管理所有複本機密的輪換。

您可以跨所有已啟用的 AWS 區域複寫密碼。不過,如果您在特殊 AWS 區域 (例如 AWS GovCloud (US) 或中國區域) 使用 Secrets Manager,則只能在這些特殊 AWS 區域內設定密碼和複本。您無法將已啟用區 AWS 域中的機密複製到特定區域,也無法將特定區域的秘密複製到商業區域。

在您可以將機密複寫到另一個區域之前,必須先啟用該區域。如需詳細資訊,請參閱管理 AWS 區域

透過調用儲存機密之區域中的機密管理員端點,您可以在無需複製的情況下跨多個區域使用機密。如需端點清單,請參閱 AWS Secrets Manager 端點。若要使用複寫來提高工作負載的彈性,請參閱上的災難復原 (DR) 架構 AWS,第 I 部分:雲端中的復原策略

Secrets Manager 會在您複寫密碼時產生 CloudTrail 記錄項目。如需詳細資訊,請參閱 記錄 AWS Secrets Manager 事件 AWS CloudTrail

若要將機密複寫到其他區域 (控制台)

  1. 前往以下位置開啟機密管理員控制台:https://console.aws.amazon.com/secretsmanager/

  2. 從秘密清單中選擇秘密。

  3. 在秘密詳細資訊頁面的複寫分頁上,執行以下其中一項操作:

    • 如果尚未複寫您的機密,請選擇 Replicate secret (複寫機密)。

    • 如果已複寫您的機密,請在 Replicate secret (複寫機密) 區段中選擇 Add Region (新增區域)。

  4. Add replica regions (新增複寫區域) 對話方塊中,執行下列操作:

    1. 針對 AWS Region (AWS 區域),選擇您要複寫機密的目標 Region (區域)。

    2. (選用) 針對 Encryption key (加密金鑰),選擇要用於將機密加密的 KMS 金鑰。金鑰必須在複本區域中。

    3. (選用) 若要新增另一個區域,請選擇 Add more regions (新增其他區域)。

    4. 選擇 Replicate (複寫)。

    返回機密詳細資訊頁面。在 Replicate Secret (複寫機密) 區段中,會顯示每個區域的 Replication Status (複寫狀態)。

AWS CLI

範例 將機密複寫至其他區域

下列 replicate-secret-to-regions 範例會將機密複寫至 eu-west-3。複本會使用 AWS 受管理金鑰 aws/秘密管理員進行加密。

aws secretsmanager replicate-secret-to-regions \
        --secret-id MyTestSecret \
        --add-replica-regions Region=eu-west-3
範例 建立密碼並複製它

下列範例會建立密碼,並將其複製到 eu-west-3。複本會使用 AWS 受管理金鑰 aws/秘密管理員進行加密。

aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
    --add-replica-regions Region=eu-west-3

AWS SDK

若要複寫機密,請使用 ReplicateSecretToRegions 命令。如需更多詳細資訊,請參閱 AWS SDKs