本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Secrets Manager 秘密中有哪些內容？
<a name="whats-in-a-secret"></a>

在 Secrets Manager 中，*秘密*由秘密資訊、*秘密值*，以及關於秘密的中繼資料組成。秘密值可以為字串或二進位。

若要在一個秘密中存放多個字串值，我們建議您使用 JSON 文字字串搭配鍵值對，例如：

```
{
  "host"       : "ProdServer-01.databases.example.com",
  "port"       : "8888",
  "username"   : "administrator",
  "password"   : "{{EXAMPLE-PASSWORD}}",
  "dbname"     : "MyDatabase",
  "engine"     : "mysql"
}
```

對於資料庫秘密，如果您想要開啟自動輪換，秘密必須包含正確 JSON 結構中資料庫的連線資訊。如需詳細資訊，請參閱[AWS Secrets Manager 秘密的 JSON 結構](reference_secret_json_structure.md)。

## 中繼資料
<a name="whats-in-a-secret-metadata"></a>

秘密的中繼資料包括：
+ Amazon Resource Name (ARN) 具有以下格式：

  ```
  arn:aws:secretsmanager:{{<Region>}}:{{<AccountId>}}:secret:{{SecretName}}-{{6RandomCharacters}}
  ```

  Secrets Manager 會在秘密名稱末尾包含六個隨機字元，協助確保秘密 ARN 是唯一。如果刪除原始秘密，然後使用相同的名稱建立新秘密，則這兩個秘密會因為這些字元而具有不同的 ARN。具有舊秘密存取權的使用者不會自動取得新秘密的存取權，因為 ARN 不同。
+ 秘密的名稱、描述、資源政策和標籤。
+ *加密金鑰*的 ARN， AWS KMS key Secrets Manager 用來加密和解密秘密值的 。Secrets Manager 一律會以加密形式存放秘密文字，並且一律加密傳輸中的秘密。請參閱 [中的秘密加密和解密 AWS Secrets Manager](security-encryption.md)。
+ 關於如何輪換秘密的資訊 (如果設定輪換)。請參閱 [輪換 AWS Secrets Manager 秘密](rotating-secrets.md)。

Secrets Manager 使用 IAM 許可政策，以確保只有授權的使用者才能存取或修改秘密。請參閱 [的身分驗證和存取控制 AWS Secrets Manager](auth-and-access.md)。

秘密的*版本*包含加密秘密值的副本。在變更秘密值或輪換秘密後，Secrets Manager 會建立新的版本。請參閱 [機密版本](#term_version)。

您可以透過*複寫*秘密 AWS 區域 來跨多個秘密。在複寫秘密時，您會建立原始或*主要秘密* (稱為*複本秘密*) 的副本。複本秘密會保持與主要秘密的連結。請參閱 [跨區域複寫 AWS Secrets Manager 秘密](replicate-secrets.md)。

請參閱 [使用 管理秘密 AWS Secrets Manager](managing-secrets.md)。

## 機密版本
<a name="term_version"></a>

秘密的*版本*包含加密秘密值的副本。在變更機密值或輪換機密後，Secrets Manager 會建立新的版本。

Secrets Manager 不會儲存帶有版本的機密線性歷史記錄，反之，它會透過標記來追蹤三個特定版本：
+ 目前版本 – `AWSCURRENT`
+ 舊版 – `AWSPREVIOUS`
+ 待定版本 （輪換期間） – `AWSPENDING`

機密始終有一個標記為 `AWSCURRENT` 的版本，當您擷取機密值時，Secrets Manager 會依預設傳回該版本。

您也可以在 [https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/update-secret-version-stage.html](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/update-secret-version-stage.html)中呼叫 ，以使用您自己的標籤來標記版本 AWS CLI。您最多可以將 20 個標籤連接至秘密中的版本。秘密的兩個版本不能擁有相同的預備標籤。一個版本可以有多個標籤。

Secrets Manager 永遠不會移除已標記版本，但會將未標記版本視為已遭取代。如果版本超過 100 個，Secrets Manager 會移除已棄用版本。Secrets Manager 不會刪除建立時間不到 24 小時的版本。

下圖顯示具有 AWS 標籤版本和客戶標籤版本的秘密。未標記版本將被視為已遭取代，並將在未來某個時間點被 Secrets Manager 移除。

 ![A secret that contains multiple secret versions, some with labels such as AWSCURRENT or MyLabelA, and some without labels.](http://docs.aws.amazon.com/zh_tw/secretsmanager/latest/userguide/images/SecretVersions.png)