本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 輪換 Secrets Manager 受管外部秘密
<a name="rotate-secrets_external"></a>

Secrets Manager 已與特定軟體供應商合作，以提供受管外部秘密。此功能可自動處理輪換，協助客戶管理秘密生命週期。使用受管外部秘密，客戶不再需要維護存放在不同合作夥伴的每個秘密的特定輪換邏輯。這將由 Secrets Manager 處理。

若要檢視已加入 Secrets Manager 的合作夥伴清單，請參閱[受管外部秘密合作夥伴](https://docs.aws.amazon.com/secretsmanager/latest/userguide/mes-partners.html)。

## 在主控台中設定輪換
<a name="rotate-secrets_external-console"></a>

若要設定現有受管外部秘密的輪換，方法是指定個別[整合合作夥伴](https://docs.aws.amazon.com/secretsmanager/latest/userguide/mes-partners.html)指定的秘密類型和值，請使用下列步驟：

1. 開啟 Secrets Manager 主控台。

1. 從清單中選取您的受管外部秘密。

1. 選擇 **Configuration** (組態) 索引標籤。

1. 在**輪換組態**區段中，選擇**編輯輪換**。

1. 開啟 **Automatic rotation** (自動輪換)。

1. 在**輪換中繼資料**下，新增輪換所需的任何合作夥伴特定中繼資料：

   遵循整合合作夥伴針對其他必要中繼資料提供的準則

1. 在**秘密輪換的服務許可中**，選取或建立輪換的 IAM 角色：
   + 選擇**建立新角色**以自動建立具有必要許可的角色
   + 或者，為您的合作夥伴選取具有適當許可的現有角色

   根據預設，許可範圍限定為建立秘密之區域中的個別合作夥伴

1. 設定**輪換排程** （例如，每 30 天自動輪換一次）。

1. 選擇**儲存**以套用輪換組態。

在此程序中設定的兩個主要中繼資料欄位為：


| 欄位 | Description | 
| --- | --- | 
| ExternalSecretRotationMetadata | 輪換所需的合作夥伴特定中繼資料，例如 Salesforce 的 API 版本 | 
| ExternalSecretRotationRoleArn | 用於輪換的 IAM 角色 ARN，其許可範圍為整合合作夥伴 | 

如需這些欄位的詳細資訊，請參閱使用 Secrets Manager [受管外部秘密來管理第三方秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/managed-external-secrets.html)。

## 使用 CLI 設定輪換
<a name="rotate-secrets_external-cli"></a>

執行下列命令來設定 Salesforce 秘密的輪換。此命令會指定秘密 ID、輪換的 IAM 角色 ARN、輪換排程，以及輪換程序所需的任何合作夥伴特定中繼資料。

```
aws secretsmanager rotate-secret \
            --secret-id SampleSecret \
            --external-secret-rotation-role-arn arn:aws:iam::123412341234:role/xyz \
            --rotation-rules AutomaticallyAfterDays=1 \
            --external-secret-rotation-metadata '[{"Key":"apiVersion","Value":"v65.0"}]'
```