Sync: update organization management notes

wiki/sources/ctp-topic-62-aws-secrets-manager.md

@@ -0,0 +1,59 @@
+---
+title: "CTP Topic 62 AWS Secrets Manager"
+type: source
+tags: []
+date: 2026-04-14
+---
+
+## Source File
+- [[Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-62-aws-secrets-manager.md]]
+
+## Summary（用中文描述）
+- 核心主题：AWS Secrets Manager 企业级密钥管理方案，包括选型对比、实施标准和落地案例
+- 问题域：云转型过程中密钥安全存储与轮换的标准化治理
+- 方法/机制：分阶段实施策略（集中化密钥 → 自动化获取 → 轮换）；Lambda 函数驱动 Oracle 数据库密码轮换；SendGrid 集中邮件服务的密钥轮换方案；JDBC Wrapper + AWS SDK 无需应用感知密钥
+- 结论/价值：AWS Secrets Manager 相比 HashiCorp Vault 成本更低、实施更简单，无需客户端；开发者无需直接访问密钥，通过角色和标签实现安全访问控制
+
+## Key Claims（用中文描述）
+- AWS Secrets Manager 比 HashiCorp Vault 更具成本效益，被选定为最终方案
+- AWS Secrets Manager 易于实施，缺失功能可用多种语言自行开发
+- 分阶段实施策略：集中化密钥 → 调整自动化获取 → 启动轮换
+- 开发者无需直接访问密钥，密钥访问通过 IAM 角色控制
+- Lambda 函数可执行 Oracle 数据库密码轮换，无需人工介入
+- SendGrid 集中邮件服务实现 API 密钥轮换，无需应用重启
+- AWS Secrets Manager 无需客户端软件（对比 HashiCorp Vault）
+
+## Key Quotes
+> "AWS Secrets Manager is easy and simple to implement. Missing features can be developed in multiple languages." — Nurit & Daniel
+> "With that idea, developers actually do not need to have direct access to their Secrets." — Daniel
+> "Secrets can be tagged for classification and access control. AWS Secrets Manager does not require clients, unlike HashiCorp Vault." — Victor（Demo）
+
+## Key Concepts
+- [[Secrets-Management（密钥管理）]]：云环境下集中存储、获取和轮换敏感凭证（密码、API 密钥、证书）的标准化实践
+- [[AWS-Secrets-Manager]]：AWS 托管的密钥管理服务，支持密钥轮换、IAM 角色访问控制和标签分类，无需客户端软件
+- [[Secret-Rotation（密钥轮换）]]：定期自动更新密钥的机制，AWS Secrets Manager 内置 Lambda 函数支持主流数据库和服务密钥轮换
+- [[JDBC-Wrapper]]：JDBC 包装器封装数据库连接，通过 AWS SDK 从 Secrets Manager 动态获取凭证，应用无需硬编码密码
+- [[AWS-Lambda]]：无服务器函数，用于执行 Oracle 数据库密码轮换等自动化任务
+- [[SendGrid]]：云邮件服务，API 密钥轮换通过集中化 SMTP 服务实现，无需应用重启
+
+## Key Entities
+- [[Nurit]]：CTP Topic 62 主持人，AWS Secrets Manager 实施分享
+- [[Daniel]]：CTP Topic 62 主持人，AWS Secrets Management Standard 文档作者，深度解析实施机会
+- [[Victor]]：Demo 演示者，展示使用 JDBC Wrapper + AWS SDK 免密登录 Oracle 数据库
+- [[AWS-Secrets-Manager]]：AWS 密钥管理服务，企业选型最终方案
+- [[HashiCorp-Vault]]：密钥管理备选方案，POC 阶段对比后未被采用
+- [[AWS-Control-Tower]]：AWS 多账户治理服务，密钥管理方案基于其环境实施
+- [[SendGrid]]：邮件服务，API 密钥轮换通过集中化服务方案解决
+
+## Connections
+- [[ctp-topic-37-secrets-certificates-management]] ← relates_to ← [[ctp-topic-62-aws-secrets-manager]]
+- [[ctp-topic-36-sendgrid-as-an-email-service]] ← extends ← [[ctp-topic-62-aws-secrets-manager]]
+- [[ctp-topic-61-workload-vpc-provision-with-ipam-automation]] ← depends_on ← [[AWS-Secrets-Manager]]
+- [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] ← extends ← [[ctp-topic-62-aws-secrets-manager]]
+
+## Contradictions
+- 与 [[ctp-topic-37-secrets-certificates-management]] 存在覆盖范围差异：
+  - 冲突点：Topic 37 覆盖 Secrets 和 Certificates 两大类；Topic 62 仅聚焦 Secrets Management
+  - 当前观点：Topic 62 通过 AWS Secrets Manager 标准化 Secrets 管理，涵盖 Oracle DB 密码和 SendGrid API 密钥轮换
+  - 对方观点：Topic 37 认为密钥与证书管理应统一为同一标准框架
+  - 说明：两者可视为互补——证书管理（Certificates）由 Topic 37 覆盖，密钥管理（Secrets）由 Topic 62 深化