[英]AWS secrets manager: how to decrypt data when secret has been rotated?
这个问题是关于 AWS secrets manager 轮换的。 创建秘密时,您可以选择轮换频率,但我不知道轮换是如何工作的。
想象一个像下面这样的场景。
您在 aws secret manager 中创建一个 secret A1 ,并指定轮换频率为 30 天。
您使用A1加密数据。
30 天后, A1已轮换为A2 。
然后,您编写程序检索 AWS 秘密管理器并获得A2的值。 你如何解密用A1加密的数据?
Secrets Manager 轮换主要用于 API 密钥或密码。
您的加密值存储在 Secrets Manager 密钥中,但加密密钥本身存储在 KMS 中。
当发生轮换时,这些值将被替换为相同的 KMS 客户主密钥,将用于加密新值。
如果您想要存储加密密钥,您可以使用AWS KMS或AWS CloudHSM (如果您的组织有特定的监管要求或想要投资专用 HSM)。
您应该使用 KMS 来存储加密密钥,而不是 Secrets Manager。 您可以在 KMS 中轮换加密密钥,同时保持旧密钥可用。
Secrets Manager 用于密码之类的事情,其中轮换涉及更新帐户以使用新密码,并且不再需要旧密码。
如何使用 Terraform 禁用 AWS Secrets Manager 的自动秘密轮换?
[英]How to disable automatic secret rotation of AWS Secrets Manager using Terraform?
如果 AWS_SECRET_KEY 必须存储在 EBS 环境变量中,那么在 Elastic Beanstalk 应用程序中使用 AWS Secrets Manager 如何安全?
[英]How is AWS Secrets Manager used in an Elastic Beanstalk application safe if the AWS_SECRET_KEY has to be stored in the EBS environment vars?
您如何管理您假定的角色IAM策略以访问AWS Secret Manager中的机密?
[英]how do you manager your assumed role IAM policies to access secrets in AWS secret manager?
如何使用 AWS CLI 在 Secret Manager 下删除过去 6 个月内未检索到的 AWS 秘密
[英]How to delete AWS Secrets under Secret Manager using AWS CLI which are not retrieved in last 6 months
使用 JS 从 AWS Lambda 访问 AWS Secrets Manager 密钥
[英]Access AWS Secrets Manager secret from AWS Lambda with JS
如何使用 AWS Secrets Manager 中的密钥轮换创建的新密钥
[英]How to use new secret created by key rotation from AWS Secrets Manager
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
