这个问题是关于 AWS Secrets Manager 的轮换。创建秘密时,您可以选择轮换频率,但我不知道轮换是如何工作的。
想象一个像下面这样的场景。
您在 aws secret manager 中创建一个密钥
A1,并指定轮换频率为 30 天。您使用 加密数据
A1。30天后,
A1一直轮换为A2。然后,您的程序检索 AWS 机密管理器并获得
A2. 你如何解密已经加密的数据A1?
2 回答
2
Secrets Manager 轮换主要用于 API 密钥或密码。
您的加密值存储在 Secrets Manager 密钥中,但加密密钥本身存储在 KMS 中。
当轮换发生时,这些值被替换为相同的 KMS 客户主密钥,将用于加密新值。
如果您想要存储加密密钥,您可以使用AWS KMS或AWS CloudHSM(如果您的组织有特定的监管要求或想要投资专用 HSM)。
于 2020-06-11T15:22:24.127 回答
1
您应该使用 KMS 来存储加密密钥,而不是 Secrets Manager。您可以在 KMS 中轮换加密密钥,同时保持旧密钥可用。
Secrets Manager 用于密码之类的事情,其中轮换涉及更新帐户以使用新密码,并且不再需要旧密码。
于 2020-06-11T15:08:58.483 回答