Geheime Schlüssel manuell rotieren
Mit IBM Cloud® Secrets Managerkönnen Sie neue Versionen eines geheimen Schlüssels manuell erstellen.
Wenn Sie einen geheimen Schlüssel in Ihrer Serviceinstanz turnusmäßig wechseln, erstellen Sie eine neue Version des Werts. Die Rotation Ihrer Berechtigungsnachweise begrenzt, wie lange ein einzelner geheimer Schlüssel auf eine geschützte Ressource zugreifen kann, was Ihr Unternehmen vor den Risiken schützen kann, die mit kompromittierten Berechtigungsnachweisen verbunden sind. Rotieren Sie Ihre geheimen Schlüssel regelmäßig, zum Beispiel alle 30 oder 60 Tage, damit Sie stets bewährte Verfahren rund um das Management geheimer Schlüssel anwenden können.
Vorbereitende Schritte
Bevor Sie beginnen, müssen Sie prüfen, ob Sie über die erforderliche Zugriffsebene verfügen. Um geheime Schlüssel turnusmäßig zu wechseln, benötigen Sie die Servicerolle Schreibberechtigter oder höher.
Unterstützte Typen geheimer Schlüssel
Alle Geheimnisse, die Sie auf Secrets Manager speichern, können bei Bedarf gedreht und ersetzt werden. Wie Secrets Manager eine Anforderung zum Rotieren eines geheimen Schlüssels auswertet, hängt vom Typ des geheimen Schlüssels ab.
Typ | Beschreibung der Rotation |
---|---|
Beliebige geheime Schlüssel | Beliebige geheime Schlüssel werden sofort durch die Daten ersetzt, die Sie bei der Rotation angeben. |
IAM-Berechtigungsnachweise | IAM-Berechtigungsnachweise, die aus einer Service-ID und einem API-Schlüssel bestehen, werden entsprechend ihrer Erstkonfiguration sofort neu generiert. Wenn der geheime Schlüssel für IAM-Berechtigungsnachweise mithilfe einer vorhandenen
Service-ID im Konto erstellt wurde, wird nur der API-Schlüssel im Rahmen einer manuellen Rotation neu generiert. Wenn der geheime Schlüssel hingegen durch Auswahl einer Zugriffsgruppe erstellt wurde, werden die Werte für die Service-ID
und den API-Schlüssel neu generiert, wenn sie manuell rotiert werden. Wichtig: Die Option IAM-Anmeldeinformationen bis zum Ablauf der Lease wiederverwenden (reuse_api_key ) für ein IAM-Anmeldeinformationsgeheimnis
hat Auswirkungen darauf, ob es manuell gedreht werden kann. Wenn dieses Feld in der Benutzerschnittstelle false oder auf Aus gesetzt ist, wird die manuelle Rotation nicht unterstützt. Der API-Schlüssel,
der dynamisch für den geheimen Schlüssel bei jedem Lesevorgang generiert wird, ist bereits ein ephemerer Einzelwert. |
Importierte Zertifikate | Zertifikate, die ursprünglich in eine Serviceinstanz importiert wurden, werden sofort durch die Daten ersetzt, die Sie bei der Rotation erneut importieren. |
Geheime Schlüssel/Wert-Schlüssel | Geheime Schlüssel/Wert-Schlüssel werden sofort durch die Daten ersetzt, die Sie bei der Rotation angeben. |
Private Zertifikate | Private Zertifikate werden sofort durch ein Zertifikat ersetzt, das von der übergeordneten oder ausstellenden Zertifizierungsstelle signiert wurde. |
Öffentliche Zertifikate | Öffentliche Zertifikate werden in den Status Aktiv, Rotation anstehend versetzt, um anzuzeigen, dass eine Anforderung zum Rotieren eines Zertifikats verarbeitet wird. Secrets Manager sendet die Anforderung an die konfigurierte Zertifizierungsstelle (z. B. Let' s Encrypt), um das Eigentumsrecht an Ihren Domänen zu validieren. Wenn die Validierung erfolgreich abgeschlossen wird, wird ein neues Zertifikat ausgegeben. |
Benutzerberechtigungsnachweise | Kennwörter, die geheimen Schlüsseln für Benutzerberechtigungsnachweise zugeordnet sind, werden sofort durch die Daten ersetzt, die Sie bei der Rotation angeben. |
Serviceberechtigungsnachweise | Das Geheimnis der Dienstanmeldeinformationen wird durch ein neues ersetzt. Das vorherige Geheimnis bleibt für die verbleibende Zeit der festgelegten TTL verfügbar. |
Benutzerdefinierte Berechtigungsnachweise | Das Geheimnis der benutzerdefinierten Anmeldeinformationen wird durch ein neues ersetzt. Das vorherige Geheimnis bleibt für die verbleibende Zeit der festgelegten TTL verfügbar. |
Beachten Sie, dass bei Serviceberechtigungsnachweisen, die für Datenbanken erstellt wurden, diese nicht synchronisiert werden, sobald der Serviceberechtigungsnachweis turnusmäßig gewechselt wurde, wenn Sie neben dem Berechtigungsnachweis auch die Datenbankberechtigungen für den erstellten Berechtigungsnachweis ändern. Beim Rotieren eines Datenbankserviceberechtigungsnachweises wird dies als Identitätsrotation betrachtet.
Neue Versionen geheimer Schlüssel in der Benutzerschnittstelle erstellen
Sie können Ihre geheimen Schlüssel und Zertifikate mithilfe der Secrets Manager-Benutzerschnittstelle manuell rotieren.
Beliebige geheime Schlüssel turnusmäßig wechseln
Sie können die Secrets Manager-Benutzerschnittstelle verwenden, um Ihre beliebigen geheimen Schlüssel manuell zu rotieren.
- Klicken Sie in der Konsole auf das Symbol Menü
> Ressourcenliste.
- Wählen Sie in der Liste der Services Ihre Instanz von Secrets Manager aus.
- Wechseln Sie in der Benutzerschnittstelle von Secrets Manager zur Liste Geheime Schlüssel.
- Klicken Sie in der Zeile für den geheimen Schlüssel, den Sie rotieren wollen, auf das Aktionen Menü
> Drehen.
- Wählen Sie eine neue Datei aus oder geben Sie einen neuen Wert des geheimen Schlüssels ein.
- Optional: Fügen Sie Ihrem geheimen Schlüssel oder einer bestimmten Version Ihres geheimen Schlüssels Metadaten hinzu.
- Laden Sie eine Datei hoch oder geben Sie die Metadaten und die Versionsmetadaten im JSON-Format ein.
- Um den geheimen Schlüssel sofort zu rotieren, klicken Sie auf Drehen.
- Optional: Überprüfen Sie das Versionsprotokoll, um die neuesten Aktualisierungen anzuzeigen.
Neue Versionen von geheimen Schlüssel/Wert-Schlüsseln erstellen
Sie können die Secrets Manager-Benutzerschnittstelle verwenden, um Ihre geheimen Schlüssel/Wert-Schlüssel manuell zu rotieren.
- Klicken Sie in der Konsole auf das Symbol Menü
> Ressourcenliste.
- Wählen Sie in der Liste der Services Ihre Instanz von Secrets Manager aus.
- Wechseln Sie in der Benutzerschnittstelle von Secrets Manager zur Liste Geheime Schlüssel.
- Klicken Sie in der Zeile für den geheimen Schlüssel, den Sie rotieren wollen, auf das Aktionen Menü
> Drehen.
- Wählen Sie eine Datei aus oder geben Sie einen neuen Wert für den geheimen Schlüssel im JSON-Format ein.
- Optional: Fügen Sie Ihrem geheimen Schlüssel oder einer bestimmten Version Ihres geheimen Schlüssels Metadaten hinzu.
- Laden Sie eine Datei hoch oder geben Sie die Metadaten und die Versionsmetadaten im JSON-Format ein.
- Um den geheimen Schlüssel sofort zu rotieren, klicken Sie auf Drehen.
- Optional: Überprüfen Sie das Versionsprotokoll, um die neuesten Aktualisierungen anzuzeigen.
Neue Versionen von Benutzerberechtigungsnachweisen erstellen
Sie können die Secrets Manager-Benutzerschnittstelle verwenden, um die Kennwortwerte, die einem geheimen Schlüssel für Benutzerberechtigungsnachweise zugeordnet sind, manuell zu rotieren.
-
Klicken Sie in der Konsole auf das Symbol Menü
> Ressourcenliste.
-
Wählen Sie in der Liste der Services Ihre Instanz von Secrets Manager aus.
-
Wechseln Sie in der Benutzerschnittstelle von Secrets Manager zur Liste Geheime Schlüssel.
-
Klicken Sie in der Zeile für den geheimen Schlüssel, den Sie rotieren wollen, auf das Aktionen Menü
> Drehen.
-
Legen Sie fest, ob Sie Ihr eigenes Kennwort eingeben oder ein neues generieren möchten.
Wenn Sie ein neues Kennwort generieren, ersetzt Secrets Manager den vorhandenen Wert durch ein zufällig generiertes 32-stelliges Kennwort, das Großbuchstaben, Kleinbuchstaben, Ziffern und Symbole enthält.
-
Optional: Fügen Sie Ihrem geheimen Schlüssel oder einer bestimmten Version Ihres geheimen Schlüssels Metadaten hinzu.
- Laden Sie eine Datei hoch oder geben Sie die Metadaten und die Versionsmetadaten im JSON-Format ein.
-
Um den geheimen Schlüssel sofort zu rotieren, klicken Sie auf Drehen.
-
Optional: Überprüfen Sie das Versionsprotokoll, um die neuesten Aktualisierungen anzuzeigen.
Erstellen neuer Versionen von IAM-Zugangsdaten
Sie können die Benutzeroberfläche Secrets Manager verwenden, um die Passwortwerte, die mit einem IAM-Anmeldedatengeheimnis verknüpft sind, manuell zu ändern.
- Klicken Sie in der Konsole auf das Symbol Menü
> Ressourcenliste.
- Wählen Sie in der Liste der Services Ihre Instanz von Secrets Manager aus.
- Wechseln Sie in der Benutzerschnittstelle von Secrets Manager zur Liste Geheime Schlüssel.
- Klicken Sie in der Zeile für den geheimen Schlüssel, den Sie rotieren wollen, auf das Aktionen Menü
> Drehen.
- Optional: Fügen Sie Ihrem geheimen Schlüssel oder einer bestimmten Version Ihres geheimen Schlüssels Metadaten hinzu.
- Laden Sie eine Datei hoch oder geben Sie die Metadaten und die Versionsmetadaten im JSON-Format ein.
- Um den geheimen Schlüssel sofort zu rotieren, klicken Sie auf Drehen.
- Optional: Überprüfen Sie das Versionsprotokoll, um die neuesten Aktualisierungen anzuzeigen.
Neue Versionen von Serviceberechtigungsnachweisen erstellen
Sie können die Benutzeroberfläche Secrets Manager verwenden, um die Kennwortwerte, die mit einem Dienstanmeldungsgeheimnis verknüpft sind, manuell zu ändern.
- Klicken Sie in der Konsole auf das Symbol Menü
> Ressourcenliste.
- Wählen Sie in der Liste der Services Ihre Instanz von Secrets Manager aus.
- Wechseln Sie in der Benutzerschnittstelle von Secrets Manager zur Liste Geheime Schlüssel.
- Klicken Sie in der Zeile für den geheimen Schlüssel, den Sie rotieren wollen, auf das Aktionen Menü
> Drehen.
- Optional: Fügen Sie Ihrem geheimen Schlüssel oder einer bestimmten Version Ihres geheimen Schlüssels Metadaten hinzu.
- Laden Sie eine Datei hoch oder geben Sie die Metadaten und die Versionsmetadaten im JSON-Format ein.
- Um den geheimen Schlüssel sofort zu rotieren, klicken Sie auf Drehen.
- Optional: Überprüfen Sie das Versionsprotokoll, um die neuesten Aktualisierungen anzuzeigen.
Neue Versionen von benutzerdefinierten Berechtigungsnachweisen erstellen
Sie können die Benutzeroberfläche Secrets Manager verwenden, um die Kennwortwerte, die mit einem benutzerdefinierten Zugangsdatengeheimnis verknüpft sind, manuell zu ändern.
- Klicken Sie in der Konsole auf das Symbol Menü
> Ressourcenliste.
- Wählen Sie in der Liste der Services Ihre Instanz von Secrets Manager aus.
- Wechseln Sie in der Benutzerschnittstelle von Secrets Manager zur Liste Geheime Schlüssel.
- Klicken Sie in der Zeile für den geheimen Schlüssel, den Sie rotieren wollen, auf das Aktionen Menü
> Drehen.
- Optional: Fügen Sie Ihrem geheimen Schlüssel oder einer bestimmten Version Ihres geheimen Schlüssels Metadaten hinzu.
- Laden Sie eine Datei hoch oder geben Sie die Metadaten und die Versionsmetadaten im JSON-Format ein.
- Um den geheimen Schlüssel sofort zu rotieren, klicken Sie auf Drehen.
- Optional: Überprüfen Sie das Versionsprotokoll, um die neuesten Aktualisierungen anzuzeigen.
Neue Versionen importierter Zertifikate erstellen
Wenn es an der Zeit ist, ein Zertifikat zu erneuern, das ursprünglich in den Service importiert wurde, können Sie es über die Secrets Manager-Benutzerschnittstelle manuell erneut importieren. Nachdem ein Zertifikat turnusmäßig gewechselt wurde, wird die vorherige Version für den Fall beibehalten, dass sie benötigt wird.
Wenn das Zertifikat, das Sie gerade turnusmäßig wechseln, zuvor mit einem temporären Zertifikat und einem privaten Schlüssel importiert wurde, schließen Sie ein Zwischenzertifikat und einen privaten Schlüssel ein, um Unterbrechungen des Service zu vermeiden.
-
Klicken Sie in der Konsole auf das Symbol Menü
> Ressourcenliste.
-
Wählen Sie in der Liste der Services Ihre Instanz von Secrets Manager aus.
-
Wechseln Sie in der Benutzerschnittstelle von Secrets Manager zur Liste Geheime Schlüssel.
-
Klicken Sie in der Zeile für das Zertifikat, das Sie wechseln möchten, auf das Aktionen Menü
> Drehen.
-
Wählen Sie die neuen Zertifikatsdaten aus oder geben Sie sie ein.
Denken Sie daran, dass die manuelle Rotation eines Zertifikats den Inhalt des Zertifikats durch die neuen Daten ersetzt, die Sie nur bereitstellen. Private Schlüssel und Zwischenzertifikate aus früheren Versionen werden nicht beibehalten.
-
Um das Zertifikat sofort zu rotieren, klicken Sie auf Drehen.
-
Optional: Überprüfen Sie das Versionsprotokoll, um die neuesten Aktualisierungen anzuzeigen.
-
Stellen Sie die neueste Zertifikatsversion für Ihren TLS-Abschlusspunkt erneut bereit.
Für den Zugriff auf die aktuelle Version können Sie das Zertifikat herunterladen oder es über die API Geheimen Schlüssel abrufen programmgesteuert abrufen.
Erstellen neuer Versionen importierter Zertifikate mit verwalteter CSR
Sie können die Benutzeroberfläche Secrets Manager verwenden, um die erste Version des Zertifikats zu erstellen, oder die nächste Version, wenn es an der Zeit ist, das Zertifikat zu erneuern.
- Klicken Sie in der Konsole auf das Symbol Menü
> Ressourcenliste.
- Wählen Sie in der Liste der Services Ihre Instanz von Secrets Manager aus.
- Wechseln Sie in der Benutzerschnittstelle von Secrets Manager zur Liste Geheime Schlüssel.
- Klicken Sie in der Zeile für das Zertifikat, das Sie wechseln möchten, auf das Aktionen Menü
> Drehen.
- Wählen Sie die Zertifikatsdatei aus, die mit dem aktuellen CSR signiert wurde, oder geben Sie die Daten ein.
- Optional: Wählen Sie die Datei der unterzeichnenden Zwischenzertifizierungsstelle aus oder geben Sie ihre Daten ein.
- Um das Zertifikat sofort zu rotieren, klicken Sie auf Drehen.
- Optional: Überprüfen Sie das Versionsprotokoll, um die neuesten Aktualisierungen anzuzeigen.
- Stellen Sie die neueste Zertifikatsversion für Ihren TLS-Abschlusspunkt erneut bereit.
Um auf die aktuelle Version zuzugreifen, können Sie das Zertifikat herunterladen oder es programmatisch über die API "Get a secret" abrufen.
Neue Versionen privater Zertifikate erstellen
Wenn Ihre Secrets Manager -Serviceinstanz für Private Zertifikateaktiviert ist, können Sie ein Zertifikat manuell erneuern, das zuvor von einer Zertifizierungsstelle ausgestellt wurde, die für Ihre Serviceinstanz konfiguriert ist.
-
Klicken Sie in der Konsole auf das Symbol Menü
> Ressourcenliste.
-
Wählen Sie in der Liste der Services Ihre Instanz von Secrets Manager aus.
-
Wechseln Sie in der Benutzerschnittstelle von Secrets Manager zur Liste Geheime Schlüssel.
-
Klicken Sie in der Zeile für das Zertifikat, das Sie wechseln möchten, auf das Aktionen Menü
> Drehen.
-
Optional: Fügen Sie Ihrem geheimen Schlüssel oder einer bestimmten Version Ihres geheimen Schlüssels Metadaten hinzu.
- Laden Sie eine Datei hoch oder geben Sie die Metadaten und die Versionsmetadaten im JSON-Format ein.
-
Klicken Sie auf Turnusmäßig wechseln.
-
Stellen Sie die neueste Zertifikatsversion für Ihren TLS-Abschlusspunkt erneut bereit.
Für den Zugriff auf die aktuelle Version können Sie das Zertifikat herunterladen oder es über die API Geheimen Schlüssel abrufen programmgesteuert abrufen.
Neue Versionen öffentlicher Zertifikate erstellen
Wenn Ihre Secrets Manager-Serviceinstanz für Öffentliche Zertifikate aktiviert ist, können Sie ein Zertifikat, das zuvor bei einer unabhängigen Zertifizierungsstelle bestellt wurde, manuell verlängern.
-
Klicken Sie in der Konsole auf das Symbol Menü
> Ressourcenliste.
-
Wählen Sie in der Liste der Services Ihre Instanz von Secrets Manager aus.
-
Wechseln Sie in der Benutzerschnittstelle von Secrets Manager zur Liste Geheime Schlüssel.
-
Klicken Sie in der Zeile für das Zertifikat, das Sie wechseln möchten, auf das Aktionen Menü
> Drehen.
-
Optional: Fügen Sie Ihrem geheimen Schlüssel oder einer bestimmten Version Ihres geheimen Schlüssels Metadaten hinzu.
- Laden Sie eine Datei hoch oder geben Sie die Metadaten und die Versionsmetadaten im JSON-Format ein.
-
Klicken Sie auf Turnusmäßig wechseln.
Eine Nachricht über die erfolgreiche Ausführung wird angezeigt, um anzuzeigen, dass Ihre Bestellung verarbeitet wird. Wenn die Validierung erfolgreich abgeschlossen wird, wird ein neues Zertifikat ausgestellt und der Status des Zertifikats ändert sich von Aktiv, Rotation anstehend zurück in Aktiv. Wenn die Validierung nicht erfolgreich abgeschlossen werden kann, ändert sich der Status des Zertifikats in Aktiv, Rotation fehlgeschlagen.
-
Optional: Überprüfen Sie die Ausstellungsdetails eines Zertifikats.
Sie können die Ausstellungsdetails eines öffentlichen Zertifikats überprüfen, indem Sie auf das Aktionen Symbol
> Detailsklicken. Wenn bei der Anforderung ein Fehler aufgetreten ist, enthält das Feld 'Status' Informationen dazu, warum die Rotation nicht erfolgreich abgeschlossen wurde.
-
Stellen Sie die neueste Zertifikatsversion für Ihren TLS-Abschlusspunkt erneut bereit.
Für den Zugriff auf die aktuelle Version können Sie das Zertifikat herunterladen oder es über die API Geheimen Schlüssel abrufen programmgesteuert abrufen.
Neue Versionen öffentlicher Zertifikate mit eigenem DNS-Provider in der Benutzerschnittstelle erstellen
Führen Sie die folgenden Schritte aus, um ein öffentliches Zertifikat zu wechseln, das mithilfe eines manuellen DNS-Providers in der Benutzerschnittstelle erstellt wurde.
-
Klicken Sie in der Konsole auf das Symbol Menü
> Ressourcenliste.
-
Wählen Sie in der Liste der Services Ihre Instanz von Secrets Manager aus.
-
Klicken Sie in der Zeile für das Zertifikat, das Sie wechseln möchten, auf das Aktionen Menü
> Drehen.
-
Optional: Fügen Sie einen Namen und eine Beschreibung hinzu, um Ihr Zertifikat leicht identifizieren zu können.
-
Optional: Klicken Sie auf Aktualisieren.
-
Klicken Sie auf Abfragen, um auf den Namen und Wert des TXT-Datensatzes zuzugreifen, die den einzelnen Domänen zugeordnet sind. Sie benötigen sie, um die Herausforderungen zu meistern.
-
Um das Eigentumsrecht an Ihren Domänen zu validieren, fügen Sie die für jede Ihrer Domänen bereitgestellten TXT-Datensätze manuell zu Ihrem DNS-Providerkonto hinzu. Sie dürfen nur die Prüffragen bearbeiten, die vor dem Ablaufdatum nicht validiert wurden.
Wenn Sie ein Zertifikat für Unterdomänen bestellen, z. B.
sub1.sub2.domain.com
, müssen Sie die TXT-Datensätze zu Ihrer registrierten Domäne hinzufügendomain.com
. -
Überprüfen Sie, ob die TXT-Datensätze, die Sie Ihren Domänen hinzugefügt haben, weitergegeben werden. Abhängig von Ihrem DNS-Anbieter kann es einige Zeit dauern, bis der Vorgang abgeschlossen ist.
-
Nachdem Sie bestätigt haben, dass die Datensätze weitergegeben wurden, klicken Sie auf Validieren, um Let' s Encrypt anzufordern, um die Anforderungen an Ihre Domänen zu validieren und ein öffentliches Zertifikat zu erstellen.
Wenn die Bestellung fehlschlägt, z. B. wenn die TXT-Datensätze nicht erfolgreich weitergegeben wurden, müssen Sie eine neue Bestellung starten, um fortzufahren.
-
Wenn Ihr Zertifikat ausgestellt wurde, bereinigen und entfernen Sie die TXT-Datensätze aus den Domänen in Ihrem DNS-Providerkonto.
Neue Versionen von geheimen Schlüsseln manuell über die Befehlszeilenschnittstelle erstellen
Sie können Ihre geheimen Schlüssel und Zertifikate mithilfe des Secrets Manager-Befehlszeilenschnittstellen-Plug-ins manuell turnusmäßig rotieren.
Beliebige geheime Schlüssel turnusmäßig wechseln
Führen Sie den Befehl ibmcloud secrets-manager secret-version-create
aus, um einen
beliebigen geheimen Schlüssel mithilfe des Secrets Manager -CLI-Plug-ins zu rotieren. Der folgende Befehl rotiert beispielsweise ein Geheimnis und weist new-secret-data
als neue Version zu.
ibmcloud secrets-manager secret-version-create \
--secret-id=SECRET_ID \
--secret-version-prototype='{"payload": "updated secret credentials", "custom_metadata": {"anyKey": "anyValue"}, "version_custom_metadata": {"anyKey": "anyValue"}}'
Der Befehl gibt den Wert des geheimen Schlüssels zusammen mit anderen Metadaten aus. Weitere Informationen zu den Befehlsoptionen finden Sie in ibmcloud secrets-manager secret-version-create
.
Rotierende Dienstanmeldungsgeheimnisse
Um ein Dienstanmeldungsgeheimnis mit Hilfe des Secrets Manager CLI-Plug-ins zu drehen, führen Sie den ibmcloud secrets-manager secret-version-create
befehl aus. Der folgende Befehl rotiert beispielsweise ein Geheimnis und weist new-secret-data
als neue Version zu.
ibmcloud secrets-manager secret-version-create --secret-id=SECRET_ID
Der Befehl gibt den Wert des geheimen Schlüssels zusammen mit anderen Metadaten aus. Weitere Informationen zu den Befehlsoptionen finden Sie in ibmcloud secrets-manager secret-version-create
.
Rotierende benutzerdefinierte Kredenzien Geheimnisse
Um ein benutzerdefiniertes Zugangsdatengeheimnis mit dem Secrets Manager CLI-Plugin zu drehen, führen Sie den ibmcloud secrets-manager secret-version-create
befehl aus. Der folgende Befehl rotiert beispielsweise ein Geheimnis und weist new-secret-data
als neue Version zu.
ibmcloud secrets-manager secret-version-create --secret-id=SECRET_ID
Der Befehl gibt den Wert des geheimen Schlüssels zusammen mit anderen Metadaten aus. Weitere Informationen zu den Befehlsoptionen finden Sie in ibmcloud secrets-manager secret-version-create
.
Berechtigungsnachweise turnusmäßig wechseln
Führen Sie den Befehl ibmcloud secrets-manager secret-version-create
aus, um einen
geheimen Schlüssel für Benutzerberechtigungsnachweise mithilfe des Secrets Manager -CLI-Plug-ins zu wechseln. Der folgende Befehl rotiert beispielsweise ein Geheimnis und weist new-password
als neue Version zu.
ibmcloud secrets-manager secret-version-create \
--secret-id=SECRET_ID \
--secret-version-prototype='{"password": "new-password", "custom_metadata": {"anyKey": "anyValue"}, "version_custom_metadata": {"anyKey": "anyValue"}}'
Wenn der Service ein automatisch generiertes Kennwort für Ihren Berechtigungsnachweis generieren und zuordnen soll, lassen Sie das Feld password
weg. Beispiel: {}
. Secrets Manager ersetzt den vorhandenen Wert durch
ein zufällig generiertes 32-stelliges Kennwort, das Großbuchstaben, Kleinbuchstaben, Ziffern und Symbole enthält.
Der Befehl gibt den Wert des geheimen Schlüssels zusammen mit anderen Metadaten aus. Weitere Informationen zu den Befehlsoptionen finden Sie in ibmcloud secrets-manager secret-version-create
.
IAM-Berechtigungsnachweise turnusmäßig wechselnde
Führen Sie den Befehl ibmcloud secrets-manager secret-version-create
aus, um einen
geheimen IAM-Berechtigungsnachweisschlüssel mithilfe des Plug-ins Secrets Manager zu rotieren. Der folgende Befehl erstellt beispielsweise einen neuen API-Schlüssel.
ibmcloud secrets-manager secret-version-create \
--secret-id=SECRET_ID
Das manuelle Rotieren von IAM-Zugangsdaten ist nur möglich, wenn "IAM-Zugangsdaten wiederverwenden" auf "Ein" gesetzt ist.
Der Befehl gibt den Wert des geheimen Schlüssels zusammen mit anderen Metadaten aus. Weitere Informationen zu den Befehlsoptionen finden Sie in ibmcloud secrets-manager secret-version-create
.
Importierte Zertifikate turnusmäßig rotieren
Um ein Zertifikat mit dem Secrets Manager CLI-Plugin zu rotieren, führen Sie den ibmcloud secrets-manager secret-version-create
befehl aus. Der folgende Befehl rotiert beispielsweise ein Geheimnis und weist new-secret-data
als neue Version zu.
certificate=$(cat cert.pem)
intermediate=$(cat intermediate.pem)
private_key=$(cat private_key.pem)
ibmcloud secrets-manager secret-version-create --id SECRET_ID --imported-cert-certificate ${certificate} --imported-cert-intermediate ${intermediate} --imported-cert-private-key ${private_key}
Der Befehl gibt den Wert des geheimen Schlüssels zusammen mit anderen Metadaten aus. Weitere Informationen zu den Befehlsoptionen finden Sie in ibmcloud secrets-manager secret-version-create
.
Importierte Zertifikate mit verwalteter CSR rotieren
Um ein Zertifikat mit dem Secrets Manager CLI-Plugin erneut zu importieren, führen Sie den ibmcloud secrets-manager secret-version-create
befehl aus. Der folgende Befehl rotiert beispielsweise ein Geheimnis und weist new-secret-data
als neue Version zu.
Wenn das importierte Zertifikatsgeheimnis eine CSR verwaltet, ist das Feld private_key
nicht zulässig.
certificate=$(cat cert.pem)
intermediate=$(cat intermediate.pem)
ibmcloud secrets-manager secret-version-create --id SECRET_ID --imported-cert-certificate ${certificate} --imported-cert-intermediate ${intermediate}
Der Befehl gibt den Wert des geheimen Schlüssels zusammen mit anderen Metadaten aus. Weitere Informationen zu den Befehlsoptionen finden Sie in ibmcloud secrets-manager secret-version-create
.
Turnusmäßig wechselnde private Zertifikate
Um ein neues privates Zertifikatgeheimnis mithilfe des CLI-Plug-ins Secrets Manager zu erstellen, führen Sie den ibmcloud secrets-manager secret-version-create
befehl aus.
ibmcloud secrets-manager secret-version-create \
--secret-id SECRET_ID
--secret-version-prototype '{"csr":"..."}' # Keep empty JSON if not needed
Der Befehl gibt den Wert des geheimen Schlüssels zusammen mit anderen Metadaten aus. Weitere Informationen zu den Befehlsoptionen finden Sie in ibmcloud secrets-manager secret-version-create
.
Rotierende öffentliche Zertifikate
Führen Sie den Befehl ibmcloud secrets-manager secret-version-create
aus, um einen
neuen geheimen Schlüssel für ein öffentliches Zertifikat über das CLI-Plug-in Secrets Manager zu bestellen.
ibmcloud secrets-manager secret-version-create \
--secret-id SECRET_ID \
--public-cert-rotation '{"rotate_keys": true|false}'
Wählen Sie beim Rotieren eines Zertifikats aus, ob auch der private Schlüssel rotiert werden soll, um true
oder false
für das Feld rotate_keys
zuzuordnen.
Der Befehl gibt den Wert des geheimen Schlüssels zusammen mit anderen Metadaten aus. Weitere Informationen zu den Befehlsoptionen finden Sie in ibmcloud secrets-manager secret-version-create
.
Rotierende KV-Geheimnisse
Führen Sie den Befehl ibmcloud secrets-manager secret-version-create
aus, um einen
geheimen KV-Schlüssel mithilfe des CLI-Plug-ins Secrets Manager zu rotieren. Der folgende Befehl rotiert beispielsweise ein Geheimnis und weist new-secret-data
als neue Version zu.
ibmcloud secrets-manager secret-version-create \
--secret-id=SECRET_ID \
--secret-version-prototype='{"data": {"key":"value"}, "custom_metadata": {"anyKey": "anyValue"}, "version_custom_metadata": {"anyKey": "anyValue"}}'
Der Befehl gibt den Wert des geheimen Schlüssels zusammen mit anderen Metadaten aus. Weitere Informationen zu den Befehlsoptionen finden Sie in ibmcloud secrets-manager secret-version-create
.
Geheime Schlüssel manuell mit der API rotieren
Sie können Ihre geheimen Schlüssel und Zertifikate mithilfe der Secrets Manager-API manuell turnusmäßig rotieren.
Beliebige geheime Schlüssel turnusmäßig wechseln
Sie können beliebige geheime Schlüssel rotieren, indem Sie die API Secrets Manager aufrufen.
Mit der folgenden Beispielanforderung wird eine neue Version Ihres geheimen Schlüssels erstellt. Wenn Sie die API aufrufen, müssen Sie die ID-Variablen und das IAM-Token durch die Werte ersetzen, die für Ihre Secrets Manager-Instanz spezifisch sind.
Sie können Metadaten, die für die Anforderungen Ihrer Organisation relevant sind, mit den Anforderungsparametern custom_metadata
und version_custom_metadata
speichern. Werte von version_custom_metadata
werden nur für die Versionen eines geheimen Schlüssels zurückgegeben. Die angepassten Metadaten Ihres geheimen Schlüssels werden wie alle anderen Metadaten für bis zu 50 Versionen gespeichert und Sie dürfen keine vertraulichen Daten einschließen.
curl -X POST \
-H "Authorization: Bearer {iam_token}" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d '{
"custom_metadata": {
"metadata_custom_key": "metadata_custom_value"
},
"payload": "Updated arbitrary data",
"version_custom_metadata": {
"custom_version_key": "custom_version_value"
}
}' \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/versions"
Eine erfolgreiche Antwort gibt den ID-Wert für den geheimen Schlüssel zusammen mit anderen Metadaten zurück. Weitere Informationen zu den erforderlichen und optionalen Anforderungsparametern finden Sie unter API-Dokumente.
Schlüssel/Wert-Schlüssel rotieren
Sie können geheime Schlüssel/Wert-Schlüssel rotieren, indem Sie die API Secrets Manager aufrufen.
Mit der folgenden Beispielanforderung wird eine neue Version Ihres geheimen Schlüssels erstellt. Wenn Sie die API aufrufen, müssen Sie die ID-Variablen und das IAM-Token durch die Werte ersetzen, die für Ihre Secrets Manager-Instanz spezifisch sind.
Sie können Metadaten, die für die Anforderungen Ihrer Organisation relevant sind, mit den Anforderungsparametern custom_metadata
und version_custom_metadata
speichern. Werte von version_custom_metadata
werden nur für die Versionen eines geheimen Schlüssels zurückgegeben. Die angepassten Metadaten Ihres geheimen Schlüssels werden wie alle anderen Metadaten für bis zu 50 Versionen gespeichert und Sie dürfen keine vertraulichen Daten einschließen.
curl -X POST \
-H "Authorization: Bearer ${iam_token}" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d '{
"custom_metadata": {
"metadata_custom_key": "metadata_custom_value"
},
"data": {
"key1": "val2"
},
"version_custom_metadata": {
"custom_version_key": "custom_version_value"
}
}' \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/versions"
Eine erfolgreiche Antwort gibt den ID-Wert für den geheimen Schlüssel zusammen mit anderen Metadaten zurück. Weitere Informationen zu den erforderlichen und optionalen Anforderungsparametern finden Sie unter API-Dokumente.
Berechtigungsnachweise turnusmäßig wechseln
Sie können geheime Schlüssel turnusmäßig wechseln, indem Sie die Secrets Manager-API aufrufen.
Mit der folgenden Beispielanforderung wird eine neue Version Ihres geheimen Schlüssels erstellt. Wenn Sie die API aufrufen, müssen Sie die ID-Variablen und das IAM-Token durch die Werte ersetzen, die für Ihre Secrets Manager-Instanz spezifisch sind.
Sie können Metadaten, die für die Anforderungen Ihrer Organisation relevant sind, mit den Anforderungsparametern custom_metadata
und version_custom_metadata
speichern. Werte von version_custom_metadata
werden nur für die Versionen eines geheimen Schlüssels zurückgegeben. Die angepassten Metadaten Ihres geheimen Schlüssels werden wie alle anderen Metadaten für bis zu 50 Versionen gespeichert und Sie dürfen keine vertraulichen Daten einschließen.
curl -X POST \
-H "Authorization: Bearer {iam_token}" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d '{
"custom_metadata": {
"metadata_custom_key": "metadata_custom_value"
},
"password": "new-password",
"version_custom_metadata": {
"custom_version_key": "custom_version_value"
}
}' \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/versions"
Wenn der Service ein automatisch generiertes Kennwort für Ihren Berechtigungsnachweis generieren und zuordnen soll, lassen Sie das Feld password
weg. Beispiel: {}
. Secrets Manager ersetzt den vorhandenen Wert durch
ein zufällig generiertes 32-stelliges Kennwort, das Großbuchstaben, Kleinbuchstaben, Ziffern und Symbole enthält.
Eine erfolgreiche Antwort gibt den ID-Wert für den geheimen Schlüssel zusammen mit anderen Metadaten zurück. Weitere Informationen zu den erforderlichen und optionalen Anforderungsparametern finden Sie unter API-Dokumente.
IAM-Berechtigungsnachweise turnusmäßig wechselnde
Sie können geheime Schlüssel turnusmäßig wechseln, indem Sie die Secrets Manager-API aufrufen.
Mit der folgenden Beispielanforderung wird eine neue Version Ihres geheimen Schlüssels erstellt. Wenn Sie die API aufrufen, müssen Sie die ID-Variablen und das IAM-Token durch die Werte ersetzen, die für Ihre Secrets Manager-Instanz spezifisch sind.
Sie können Metadaten, die für die Anforderungen Ihrer Organisation relevant sind, mit den Anforderungsparametern custom_metadata
und version_custom_metadata
speichern. Werte von version_custom_metadata
werden nur für die Versionen eines geheimen Schlüssels zurückgegeben. Die angepassten Metadaten Ihres geheimen Schlüssels werden wie alle anderen Metadaten für bis zu 50 Versionen gespeichert und Sie dürfen keine vertraulichen Daten einschließen.
curl -X POST \
-H "Authorization: Bearer {iam_token}" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d '{
"custom_metadata": {
"metadata_custom_key": "metadata_custom_value"
},
"version_custom_metadata": {
"custom_version_key": "custom_version_value"
}
}' \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/versions"
Eine erfolgreiche Antwort gibt den ID-Wert für den geheimen Schlüssel zusammen mit anderen Metadaten zurück. Weitere Informationen zu den erforderlichen und optionalen Anforderungsparametern finden Sie unter API-Dokumente.
Turnusmäßig wechselnde Serviceberechtigungsnachweise
Sie können geheime Schlüssel turnusmäßig wechseln, indem Sie die Secrets Manager-API aufrufen.
Mit der folgenden Beispielanforderung wird eine neue Version Ihres geheimen Schlüssels erstellt. Wenn Sie die API aufrufen, müssen Sie die ID-Variablen und das IAM-Token durch die Werte ersetzen, die für Ihre Secrets Manager-Instanz spezifisch sind.
Sie können Metadaten, die für die Anforderungen Ihrer Organisation relevant sind, mit den Anforderungsparametern custom_metadata
und version_custom_metadata
speichern. Werte von version_custom_metadata
werden nur für die Versionen eines geheimen Schlüssels zurückgegeben. Die angepassten Metadaten Ihres geheimen Schlüssels werden wie alle anderen Metadaten für bis zu 50 Versionen gespeichert und Sie dürfen keine vertraulichen Daten einschließen.
curl -X POST \
-H "Authorization: Bearer {iam_token}" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d '{
"custom_metadata": {
"metadata_custom_key": "metadata_custom_value"
},
"version_custom_metadata": {
"custom_version_key": "custom_version_value"
}
}' \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/versions"
Eine erfolgreiche Antwort gibt den ID-Wert für den geheimen Schlüssel zusammen mit anderen Metadaten zurück. Weitere Informationen zu den erforderlichen und optionalen Anforderungsparametern finden Sie unter API-Dokumente.
Rotierende benutzerdefinierte Anmeldeinformationen
Sie können geheime Schlüssel turnusmäßig wechseln, indem Sie die Secrets Manager-API aufrufen.
Mit der folgenden Beispielanforderung wird eine neue Version Ihres geheimen Schlüssels erstellt. Wenn Sie die API aufrufen, müssen Sie die ID-Variablen und das IAM-Token durch die Werte ersetzen, die für Ihre Secrets Manager-Instanz spezifisch sind.
Sie können Metadaten, die für die Anforderungen Ihrer Organisation relevant sind, mit den Anforderungsparametern custom_metadata
und version_custom_metadata
speichern. Werte von version_custom_metadata
werden nur für die Versionen eines geheimen Schlüssels zurückgegeben. Die angepassten Metadaten Ihres geheimen Schlüssels werden wie alle anderen Metadaten für bis zu 50 Versionen gespeichert und Sie dürfen keine vertraulichen Daten einschließen.
curl -X POST \
-H "Authorization: Bearer {iam_token}" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d '{
"custom_metadata": {
"metadata_custom_key": "metadata_custom_value"
},
"version_custom_metadata": {
"custom_version_key": "custom_version_value"
}
}' \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/versions"
Eine erfolgreiche Antwort gibt den ID-Wert für den geheimen Schlüssel zusammen mit anderen Metadaten zurück. Weitere Informationen zu den erforderlichen und optionalen Anforderungsparametern finden Sie unter API-Dokumente.
Importierte Zertifikate turnusmäßig rotieren
Sie können geheime Schlüssel turnusmäßig wechseln, indem Sie die Secrets Manager-API aufrufen.
Mit der folgenden Beispielanforderung wird eine neue Version Ihres geheimen Schlüssels erstellt. Wenn Sie die API aufrufen, müssen Sie die ID-Variablen und das IAM-Token durch die Werte ersetzen, die für Ihre Secrets Manager-Instanz spezifisch sind.
Sie können Metadaten, die für die Anforderungen Ihrer Organisation relevant sind, mit den Anforderungsparametern custom_metadata
und version_custom_metadata
speichern. Werte von version_custom_metadata
werden nur für die Versionen eines geheimen Schlüssels zurückgegeben. Die angepassten Metadaten Ihres geheimen Schlüssels werden wie alle anderen Metadaten für bis zu 50 Versionen gespeichert und Sie dürfen keine vertraulichen Daten einschließen.
curl -X POST \
-H "Authorization: Bearer {iam_token}" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d '{
"certificate": "-----BEGIN CERTIFICATE-----\nMIIE3jCCBGSgAwIBAgIUZfTbf3adn87l5J2Q2Aw+6Vk/qhowCgYIKoZIzj0EAwIwx\n-----END CERTIFICATE-----", "custom_metadata": {
"metadata_custom_key": "metadata_custom_value"
},
"intermediate": "-----BEGIN CERTIFICATE-----\nMIIE3DCCBGKgAwIBAgIUKncnp6BdSUKAFGBcP4YVp/gTb7gwCgYIKoZIzj0EAwIw\n-----END CERTIFICATE-----",
"private_key": "-----BEGIN RSA PRIVATE KEY-----\nMIIEowIBAAKCAQEAqcRbzV1wp0nVrPtEpMtnWMO6Js1q3rhREZluKZfu0Q8SY4H3\n-----END RSA PRIVATE KEY-----", "version_custom_metadata": {
"custom_version_key": "custom_version_value"
}
}' \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/versions"
Ersetzen Sie neue Zeilen in den Zertifikats-, Zwischen-und privaten Schlüsseldaten durch \n
.
Eine erfolgreiche Antwort gibt den ID-Wert für den geheimen Schlüssel zusammen mit anderen Metadaten zurück. Weitere Informationen zu den erforderlichen und optionalen Anforderungsparametern finden Sie unter API-Dokumente.
Importierte Zertifikate mit verwalteter CSR rotieren
Sie können geheime Schlüssel turnusmäßig wechseln, indem Sie die Secrets Manager-API aufrufen.
Mit der folgenden Beispielanforderung wird eine neue Version Ihres geheimen Schlüssels erstellt. Wenn Sie die API aufrufen, müssen Sie die ID-Variablen
und das IAM-Token durch die Werte ersetzen, die für Ihre Secrets Manager-Instanz spezifisch sind.
Wenn das importierte Zertifikatsgeheimnis eine CSR verwaltet, ist das Feld private_key
nicht zulässig.
curl -X POST \
-H "Authorization: Bearer {iam_token}" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d '{
"certificate": "-----BEGIN CERTIFICATE-----\nMIIE3jCCBGSgAwIBAgIUZfTbf3adn87l5J2Q2Aw+6Vk/qhowCgYIKoZIzj0EAwIwx\n-----END CERTIFICATE-----",
"intermediate": "-----BEGIN CERTIFICATE-----\nMIIE3DCCBGKgAwIBAgIUKncnp6BdSUKAFGBcP4YVp/gTb7gwCgYIKoZIzj0EAwIw\n-----END CERTIFICATE-----"
}
}' \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/versions"
Eine erfolgreiche Antwort gibt den ID-Wert für den geheimen Schlüssel zusammen mit anderen Metadaten zurück. Weitere Informationen zu den erforderlichen und optionalen Anforderungsparametern finden Sie unter API-Dokumente.
Rotierende öffentliche Zertifikate
Sie können geheime Schlüssel turnusmäßig wechseln, indem Sie die Secrets Manager-API aufrufen.
Mit der folgenden Beispielanforderung wird eine neue Version Ihres geheimen Schlüssels erstellt. Wenn Sie die API aufrufen, müssen Sie die ID-Variablen und das IAM-Token durch die Werte ersetzen, die für Ihre Secrets Manager-Instanz spezifisch sind.
Sie können Metadaten, die für die Anforderungen Ihrer Organisation relevant sind, mit den Anforderungsparametern custom_metadata
und version_custom_metadata
speichern. Werte von version_custom_metadata
werden nur für die Versionen eines geheimen Schlüssels zurückgegeben. Die angepassten Metadaten Ihres geheimen Schlüssels werden wie alle anderen Metadaten für bis zu 50 Versionen gespeichert und Sie dürfen keine vertraulichen Daten einschließen.
curl -X POST \
-H "Authorization: Bearer {iam_token}" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d '{
"rotation": {
"rotate_keys": true # or false
},
"version_custom_metadata": {
"custom_version_key": "custom_version_value"
}
}' \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/versions"
Ersetzen Sie neue Zeilen in den Zertifikats-, Zwischen-und privaten Schlüsseldaten durch \n
.
Eine erfolgreiche Antwort gibt den ID-Wert für den geheimen Schlüssel zusammen mit anderen Metadaten zurück. Weitere Informationen zu den erforderlichen und optionalen Anforderungsparametern finden Sie unter API-Dokumente.
Turnusmäßig wechselnde private Zertifikate
Sie können geheime Schlüssel turnusmäßig wechseln, indem Sie die Secrets Manager-API aufrufen.
Mit der folgenden Beispielanforderung wird eine neue Version Ihres geheimen Schlüssels erstellt. Wenn Sie die API aufrufen, müssen Sie die ID-Variablen und das IAM-Token durch die Werte ersetzen, die für Ihre Secrets Manager-Instanz spezifisch sind.
Sie können Metadaten, die für die Anforderungen Ihrer Organisation relevant sind, mit den Anforderungsparametern custom_metadata
und version_custom_metadata
speichern. Werte von version_custom_metadata
werden nur für die Versionen eines geheimen Schlüssels zurückgegeben. Die angepassten Metadaten Ihres geheimen Schlüssels werden wie alle anderen Metadaten für bis zu 50 Versionen gespeichert und Sie dürfen keine vertraulichen Daten einschließen.
curl -X POST \
-H "Authorization: Bearer {iam_token}" \
-H "Accept: application/json" \
-H "Content-Type: application/json" \
-d '{
"csr": '{}' # Keep empty if not required
"version_custom_metadata": {
"custom_version_key": "custom_version_value"
}
}' \
"https://{instance_ID}.{region}.secrets-manager.appdomain.cloud/api/v2/secrets/{id}/versions"
Ersetzen Sie neue Zeilen in den Zertifikats-, Zwischen-und privaten Schlüsseldaten durch \n
.
Eine erfolgreiche Antwort gibt den ID-Wert für den geheimen Schlüssel zusammen mit anderen Metadaten zurück. Weitere Informationen zu den erforderlichen und optionalen Anforderungsparametern finden Sie unter API-Dokumente.
Geheime Schlüssel manuell mit Terraform rotieren
Sie können Ihre beliebigen geheimen Schlüssel, geheimen Schlüssel/Wert-Schlüssel oder importierten Zertifikate mithilfe von Terraform für Secrets Managermanuell rotieren. Um andere Typen von geheimen Schlüsseln manuell zu wechseln, müssen Sie die Benutzerschnittstelle, die API oder die Befehlszeilenschnittstelle verwenden.
Beliebige geheime Schlüssel turnusmäßig wechseln
Sie können beliebige geheime Schlüssel mit Terraform für Secrets Managerrotieren.
Um einen beliebigen geheimen Schlüssel zu rotieren, ändern Sie den Wert des Attributs payload
in Ihrer ibm_sm_arbitrary_secret
-Ressourcenkonfiguration und führen Sie terraform apply
aus, um die Änderung
anzuwenden. Wenn Sie eine Eingabevariable für die Nutzdaten verwenden, ändern Sie ihren Wert in der Datei variables.tf
.
Sie können auch gleichzeitig andere Attribute des beliebigen geheimen Schlüssels ändern, einschließlich Metadatenattribute wie description
, custom_metadata
oder version_custom_metadata
.
Schlüssel/Wert-Schlüssel rotieren
Um einen geheimen Schlüssel mit Schlüsselwert mithilfe von Terraform für Secrets Managerzu rotieren, ändern Sie den Wert des Attributs data
in Ihrer ibm_sm_kv_secret
-Ressourcenkonfiguration und führen Sie terraform apply
aus, um die Änderung anzuwenden. Wenn Sie eine Eingabevariable für die Nutzdaten verwenden, ändern Sie ihren Wert in der Datei variables.tf
.
Sie können auch gleichzeitig andere Attribute des geheimen Schlüssel/Wert-Schlüssels ändern, einschließlich Metadatenattribute wie description
, custom_metadata
oder version_custom_metadata
.
Importierte Zertifikate turnusmäßig rotieren
Sie können importierte Zertifikate unter Verwendung von Terraform für Secrets Managerrotieren.
Um ein importiertes Zertifikat zu wechseln, ändern Sie die Werte der Attribute certificate
, intermediate
(optional) und private_key
(optional) in Ihrer ibm_sm_imported_certificate
-Ressourcenkonfiguration
und führen Sie terraform apply
aus, um die Änderung anzuwenden.
Sie können auch andere Attribute des importierten Zertifikats gleichzeitig ändern, einschließlich Metadatenattribute wie description
, custom_metadata
oder version_custom_metadata
.