AWS Secrets Manager:如何在密钥轮换后解密数据?

【问题标题】:AWS secrets manager: how to decrypt data when secret has been rotated?AWS Secrets Manager:如何在密钥轮换后解密数据?
【发布时间】:2025-12-06 17:15:01
【问题描述】:

这个问题是关于 AWS Secrets Manager 的轮换。创建秘密时,您可以选择轮换频率,但我不知道轮换是如何工作的。

想象一个像下面这样的场景。

  1. 您在 aws secret manager 中创建一个 secret A1,并指定轮换频率为 30 天。

  2. 你用A1加密数据。

  3. 30 天后,A1 已轮换为 A2

  4. 然后,您的程序检索 AWS 机密管理器并获得 A2 的值。用A1加密的数据如何解密?

【问题讨论】:

  • 如果我理解正确,您是否将加密密钥存储在 Secrets Manager 中?
  • 我用secret manager存储access_token、app_secret,大部分不需要轮换。我很好奇 aws secret manager 轮换的用法。在什么情况下会用到?
  • 我附上了解释用例的答案,以及扩展 AWS 中的加密

标签: amazon-web-services aws-secrets-manager


【解决方案1】:

Secrets Manager 轮换主要用于 API 密钥或密码。

您的加密值存储在 Secrets Manager 密钥中,但加密密钥本身存储在 KMS 中。

当轮换发生时,这些值被替换为相同的 KMS 客户主密钥,将用于加密新值。

如果您想要存储加密密钥,您可以使用 AWS KMSAWS CloudHSM(如果您的组织有特定的监管要求或想要投资专用 HSM)。

【讨论】:

    【解决方案2】:

    您应该使用 KMS 来存储加密密钥,而不是 Secrets Manager。您可以在 KMS 中轮换加密密钥,同时保持旧密钥可用。

    Secrets Manager 用于密码之类的事情,其中​​轮换涉及更新帐户以使用新密码,并且不再需要旧密码。

    【讨论】:

      猜你喜欢
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript C# Mysql Docker 算法 前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库 机器学习 大数据 数据结构 微服务 js 人工智能 Go Android 面试 程序员 JVM 云原生 后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构 多线程 Spring Boot 云计算 LeetCode 分布式