AWS 秘密管理器:轮换秘密后如何解密数据?
AWS secrets manager: how to decrypt data when secret has been rotated?
这个问题是关于 AWS secrets manager 轮换的。创建secret的时候可以选择轮换频率,但是我不知道轮换是怎么回事
想象如下场景。
您在 aws secret manager 中创建一个 secret A1,并指定轮换频率为 30 天。
您使用A1加密数据。
30 天后,A1 已轮换为 A2。
然后,您编写程序检索 AWS secret manager 并获得 A2 的值。用A1加密的数据如何解密?
您应该使用 KMS 来存储加密密钥,而不是 Secrets Manager。您可以在 KMS 中轮换加密密钥,同时保持旧密钥可用。
Secrets Manager 用于密码之类的事情,轮换涉及更新帐户以使用新密码,并且不再需要旧密码。
Secrets Manager 轮换主要用于 API 密钥或密码。
您的加密值存储在 Secrets Manager 机密中,但加密密钥本身存储在 KMS 中。
发生轮换时,这些值将替换为相同的 KMS 客户主密钥,将用于加密新值。
如果您想要存储加密密钥,您可以使用 AWS KMS, or AWS CloudHSM(如果您的组织有特定的监管要求或想要投资专用 HSM)。
这个问题是关于 AWS secrets manager 轮换的。创建secret的时候可以选择轮换频率,但是我不知道轮换是怎么回事
想象如下场景。
您在 aws secret manager 中创建一个 secret
A1,并指定轮换频率为 30 天。您使用
A1加密数据。30 天后,
A1已轮换为A2。然后,您编写程序检索 AWS secret manager 并获得
A2的值。用A1加密的数据如何解密?
您应该使用 KMS 来存储加密密钥,而不是 Secrets Manager。您可以在 KMS 中轮换加密密钥,同时保持旧密钥可用。
Secrets Manager 用于密码之类的事情,轮换涉及更新帐户以使用新密码,并且不再需要旧密码。
Secrets Manager 轮换主要用于 API 密钥或密码。
您的加密值存储在 Secrets Manager 机密中,但加密密钥本身存储在 KMS 中。
发生轮换时,这些值将替换为相同的 KMS 客户主密钥,将用于加密新值。
如果您想要存储加密密钥,您可以使用 AWS KMS, or AWS CloudHSM(如果您的组织有特定的监管要求或想要投资专用 HSM)。