本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
輪換 Secrets Manager 受管外部秘密
Secrets Manager 已與特定軟體供應商合作,以提供受管外部秘密。此功能可自動處理輪換,協助客戶管理秘密生命週期。使用受管外部秘密,客戶不再需要維護存放在不同合作夥伴的每個秘密的特定輪換邏輯。這將由 Secrets Manager 處理。
若要檢視已加入 Secrets Manager 的合作夥伴清單,請參閱受管外部秘密合作夥伴。
在主控台中設定輪換
若要設定現有受管外部秘密的輪換,方法是指定個別整合合作夥伴指定的秘密類型和值,請使用下列步驟:
開啟 Secrets Manager 主控台。
從清單中選取您的受管外部秘密。
選擇 Configuration (組態) 索引標籤。
在輪換組態區段中,選擇編輯輪換。
開啟 Automatic rotation (自動輪換)。
-
在輪換中繼資料下,新增輪換所需的任何合作夥伴特定中繼資料:
遵循整合合作夥伴針對其他必要中繼資料提供的準則
-
在秘密輪換的服務許可中,選取或建立輪換的 IAM 角色:
選擇建立新角色以自動建立具有必要許可的角色
或者,為您的合作夥伴選取具有適當許可的現有角色
根據預設,許可範圍限定為建立秘密之區域中的個別合作夥伴
設定輪換排程 (例如,每 30 天自動輪換一次)。
選擇儲存以套用輪換組態。
在此程序中設定的兩個主要中繼資料欄位為:
| 欄位 | Description |
|---|---|
| ExternalSecretRotationMetadata | 輪換所需的合作夥伴特定中繼資料,例如 Salesforce 的 API 版本 |
| ExternalSecretRotationRoleArn | 用於輪換的 IAM 角色 ARN,其許可範圍為整合合作夥伴 |
如需這些欄位的詳細資訊,請參閱使用 Secrets Manager 受管外部秘密來管理第三方秘密。
使用 CLI 設定輪換
執行下列命令來設定 Salesforce 秘密的輪換。此命令會指定秘密 ID、輪換的 IAM 角色 ARN、輪換排程,以及輪換程序所需的任何合作夥伴特定中繼資料。
aws secretsmanager rotate-secret \ --secret-id SampleSecret \ --external-secret-rotation-role-arn arn:aws:iam::123412341234:role/xyz \ --rotation-rules AutomaticallyAfterDays=1 \ --external-secret-rotation-metadata '[{"Key":"apiVersion","Value":"v65.0"}]'
