本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 跨區域複寫 AWS Secrets Manager 秘密
<a name="replicate-secrets"></a>

您可以在多個 中複寫秘密 AWS 區域 ，以支援分散在這些區域中的應用程式，以滿足區域存取和低延遲需求。如果您稍後需要，您可以將[複本秘密提升為獨立，](standalone-secret.md)然後將其單獨設定為複寫。機密管理員會複寫已加密的機密資料和中繼資料，例如跨越指定區域的標籤和資源政策。

複寫秘密的 ARN 與主要秘密的 ARN 基本相同，唯一差異在於 Region 部分，示例如下：
+ 主要機密：`arn:aws:secretsmanager:Region1:123456789012:secret:MySecret-a1b2c3`
+ 複本秘密：`arn:aws:secretsmanager:Region2:123456789012:secret:MySecret-a1b2c3`

如需複本機密的定價資訊，請參閱 [AWS Secrets Manager 定價](https://aws.amazon.com/secrets-manager/pricing/)。

當您針對可複製到其他區域的來源資料庫儲存資料庫憑證時，機密會包含來源資料庫的連線資訊。如果隨後複製機密，則複本是來源機密的副本，並包含相同的連線資訊。您可以將其他金鑰/值對新增到區域連線資訊的機密。

如果您對主要機密開啟輪換，則機密管理員會在主要區域中輪換機密，而新的機密值會傳播至所有相關聯的複本機密。您不必單獨管理所有複本機密的輪換。

您可以將秘密複寫到所有已啟用 AWS 的區域。不過，如果您在 AWS GovCloud (US) 或 中國 AWS 區域等特殊區域使用 Secrets Manager，您只能在這些特殊 AWS 區域內設定秘密和複本。您無法將已啟用 區域中的秘密複寫 AWS 至特定區域，或將秘密從特定區域複寫至商業區域。

在您可以將機密複寫到另一個區域之前，必須先啟用該區域。如需詳細資訊，請參閱[管理 AWS 區域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable)。

透過調用儲存機密之區域中的機密管理員端點，您可以在無需複製的情況下跨多個區域使用機密。如需端點清單，請參閱 [AWS Secrets Manager 端點](asm_access.md#endpoints)。若要使用複寫來改善工作負載的彈性，請參閱 [上的災難復原 (DR) 架構 AWS，第 I 部分：雲端中的復原策略](https://aws.amazon.com/blogs/architecture/disaster-recovery-dr-architecture-on-aws-part-i-strategies-for-recovery-in-the-cloud/)。

複寫機密時，Secrets Manager 會產生 CloudTrail 日誌項目。如需詳細資訊，請參閱[使用 記錄 AWS Secrets Manager 事件 AWS CloudTrail](monitoring-cloudtrail.md)。

**若要將機密複寫到其他區域 (控制台)**

1. 前往以下位置開啟機密管理員控制台：[https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)。

1. 從秘密清單中選擇秘密。

1. 在秘密詳細資訊頁面的**複寫**分頁上，執行以下其中一項操作：
   + 如果尚未複寫您的機密，請選擇 **Replicate secret** (複寫機密)。
   + 如果已複寫您的機密，請在 **Replicate secret** (複寫機密) 區段中選擇 **Add Region** (新增區域)。

1. 在 **Add replica regions** (新增複寫區域) 對話方塊中，執行下列操作：

   1. 針對 **AWS Region** (AWS 區域)，選擇您要複寫機密的目標 Region (區域)。

   1. (選用) 針對 **Encryption key** (加密金鑰)，選擇要用於將機密加密的 KMS 金鑰。金鑰必須在複本區域中。

   1. (選用) 若要新增另一個區域，請選擇 **Add more regions** (新增其他區域)。

   1. 選擇 **Replicate** (複寫)。

   返回機密詳細資訊頁面。在 **Replicate Secret** (複寫機密) 區段中，會顯示每個區域的 **Replication Status** (複寫狀態)。

## AWS CLI
<a name="replicate-secrets_CLI"></a>

**Example 將機密複寫至其他區域**  
下列 [https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/replicate-secret-to-regions.html](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/replicate-secret-to-regions.html) 範例會將機密複寫至 eu-west-3。複本會使用 AWS 受管金鑰 加密**aws/secretsmanager**。  

```
aws secretsmanager replicate-secret-to-regions \
        --secret-id MyTestSecret \
        --add-replica-regions Region=eu-west-3
```

**Example 建立秘密並進行複寫**  
下列[範例](https://docs.aws.amazon.com//cli/latest/reference/secretsmanager/create-secret.html)會建立秘密並將其複寫至 eu-west-3。複本會使用 加密 AWS 受管金鑰 **aws/secretsmanager**。  

```
aws secretsmanager create-secret \
    --name MyTestSecret \
    --description "My test secret created with the CLI." \
    --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
    --add-replica-regions Region=eu-west-3
```

## AWS 開發套件
<a name="replicate-secrets_SDK"></a>

若要複寫機密，請使用 [https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_ReplicateSecretToRegions.html) 命令。如需詳細資訊，請參閱[AWS SDKs](asm_access.md#asm-sdks)。