kes migrate
概述
kes migrate 命令支持将主密钥从一个 KMS 实例迁移到另一个 KMS 实例。 例如,您可以使用该命令将 Hashicorp Vault 实例迁移到另一个 Hashicorp Vault 实例。 或者,kes migrate 可以将 Hashicorp Vault 实例迁移到或从 AWS Secrets Manager KMS 迁移。
KMS 实例不需要是相同类型或提供商。
migrate 命令 **必须** 同时直接访问 **两个** KMS 实例。
语法
kes migrate \
--from <path> \
--to <path> \
[--force, -f] \
[--merge] \
[--quiet, -q] \
[<pattern>]
参数
--from
必需
指定要从中迁移密钥的旧 KMS(源)的 KES 配置文件路径。
--to
必需
指定要迁移密钥到的新 KMS(目标)的 KES 配置文件路径。
--force, -f
可选
即使目标服务器上存在同名密钥,也迁移密钥到新的 KMS。当你传递此标志时,迁移过程会将源服务器上的密钥覆盖目标服务器上现有的密钥。
--merge
可选
保留目标服务器上存在的密钥,只迁移旧服务器上目标服务器上不存在的密钥。
--quiet, -q
可选
禁用打印进度信息。
<pattern>
可选
使用通配符的文本模式,用于查找要迁移的特定密钥。
例子
迁移所有主密钥
kes migrate --from vault-config.yml --to aws-config.yml
迁移一些主密钥
要迁移所有主密钥的子集,请指定模式。只有与模式匹配的主密钥才会迁移。
kes migrate --from <source.yml> --target <target.yml> <pattern>
例如
kes migrate --from source.yml --target target.yml my-key*
迁移单个密钥
要迁移单个主密钥,请指定密钥名称。
kes migrate --from <source.yml> --target <target.yml> <key-name>
例如
kes migrate --from source.yml --target target.yml my-master-key