Auto-sync: 2026-04-24 12:02

wiki/concepts/AWS-Secrets-Manager.md

@@ -0,0 +1,39 @@
+---
+title: "AWS Secrets Manager"
+type: concept
+tags:
+  - AWS
+  - Secrets-Management
+  - Security
+last_updated: 2026-04-14
+---
+
+## Definition
+AWS Secrets Manager 是 AWS 提供的完全托管式密钥管理服务，用于安全存储和检索应用程序、服务和 IT 资源的密钥。
+
+## Core Features
+- **内置数据库集成**：开箱即用支持 AWS RDS、Redshift、DynamoDB 等服务的密钥管理
+- **高可用与 DR**：托管服务自动实现跨可用区高可用和灾难恢复
+- **按用量计费**：基于 API 调用次数计费，无需预付成本
+- **自动密钥轮换**：通过 Lambda 函数实现数据库凭证自动轮换
+- **IAM 访问控制**：通过 IAM 角色和标签实现精细化权限管理
+- **账户级管理**：AWS 在账户级别管理密钥，可降低成本并提升安全性
+
+## Evaluation vs HashiCorp Vault
+| 维度 | AWS Secrets Manager | HashiCorp Vault |
+|------|---------------------|-----------------|
+| 部署模式 | 完全托管 | 自托管 |
+| 云厂商 | AWS 原生 | 云厂商无关 |
+| 成本模型 | 按用量计费 | 按用户数收费 |
+| 高可用 | 内置 | 企业版才支持 |
+| 动态密钥 | 支持 | 支持 |
+| 证书签名 | 不支持原生 | 支持嵌入式签名 |
+| 实施复杂度 | 简单易用 | 需要专业知识 |
+
+## Implementation Phases
+1. **试点阶段（30天）**：验证开箱即用功能，识别缺失功能（SSH 密钥轮换、用户密码轮换）
+2. **实施阶段**：从 Control Tower 开始，从 CI/CD 流程中清除明文密码和密钥，集中化管理
+
+## Sources
+- [[ctp-topic-37-secrets-certificates-management]]（选型评估）
+- [[ctp-topic-62-aws-secrets-manager]]（企业级深度实践）

wiki/concepts/Secrets-Management.md

@@ -0,0 +1,33 @@
+---
+title: "Secrets Management"
+type: concept
+tags:
+  - Security
+  - Cloud
+  - DevOps
+last_updated: 2026-04-14
+---
+
+## Definition
+密钥管理（Secrets Management）是指管理数字认证凭证（密码、密钥、API、Tokens）的工具和方法论，用于确保应用服务、特权账号和 IT 生态中其他敏感部分的安全存储与访问控制。
+
+## Core Components
+- **凭证存储**：安全存储密码、API 密钥、数据库凭证、证书等敏感数据
+- **访问控制**：基于 IAM 角色和标签的精细化权限管理
+- **密钥轮换**：自动化定期更换密钥以降低泄露风险
+- **审计日志**：记录所有密钥访问和变更操作
+- **与 CI/CD 集成**：从集中化存储而非代码库中获取密钥
+
+## Key Tools
+- [[AWS-Secrets-Manager]]：AWS 托管服务，开箱即用集成 RDS/Redshift/DynamoDB
+- [[HashiCorp-Vault]]：自托管、云厂商无关，支持动态密钥和嵌入式证书签名
+
+## Related Concepts
+- [[API-Key-Rotation]]：API 密钥的定期更换机制
+- [[IAM]]：身份与访问管理，是密钥访问控制的基础
+- [[CI/CD-Secrets]]：CI/CD 流水线中的密钥管理最佳实践
+- [[Secret-Rotation]]：密钥轮换的具体实现机制
+
+## Sources
+- [[ctp-topic-37-secrets-certificates-management]]
+- [[ctp-topic-62-aws-secrets-manager]]