Auto-sync: 2026-04-24 12:02

wiki/concepts/AWS-Secrets-Manager.md

@@ -0,0 +1,39 @@
+---
+title: "AWS Secrets Manager"
+type: concept
+tags:
+  - AWS
+  - Secrets-Management
+  - Security
+last_updated: 2026-04-14
+---
+
+## Definition
+AWS Secrets Manager 是 AWS 提供的完全托管式密钥管理服务，用于安全存储和检索应用程序、服务和 IT 资源的密钥。
+
+## Core Features
+- **内置数据库集成**：开箱即用支持 AWS RDS、Redshift、DynamoDB 等服务的密钥管理
+- **高可用与 DR**：托管服务自动实现跨可用区高可用和灾难恢复
+- **按用量计费**：基于 API 调用次数计费，无需预付成本
+- **自动密钥轮换**：通过 Lambda 函数实现数据库凭证自动轮换
+- **IAM 访问控制**：通过 IAM 角色和标签实现精细化权限管理
+- **账户级管理**：AWS 在账户级别管理密钥，可降低成本并提升安全性
+
+## Evaluation vs HashiCorp Vault
+| 维度 | AWS Secrets Manager | HashiCorp Vault |
+|------|---------------------|-----------------|
+| 部署模式 | 完全托管 | 自托管 |
+| 云厂商 | AWS 原生 | 云厂商无关 |
+| 成本模型 | 按用量计费 | 按用户数收费 |
+| 高可用 | 内置 | 企业版才支持 |
+| 动态密钥 | 支持 | 支持 |
+| 证书签名 | 不支持原生 | 支持嵌入式签名 |
+| 实施复杂度 | 简单易用 | 需要专业知识 |
+
+## Implementation Phases
+1. **试点阶段（30天）**：验证开箱即用功能，识别缺失功能（SSH 密钥轮换、用户密码轮换）
+2. **实施阶段**：从 Control Tower 开始，从 CI/CD 流程中清除明文密码和密钥，集中化管理
+
+## Sources
+- [[ctp-topic-37-secrets-certificates-management]]（选型评估）
+- [[ctp-topic-62-aws-secrets-manager]]（企业级深度实践）

wiki/concepts/Secrets-Management.md

@@ -0,0 +1,33 @@
+---
+title: "Secrets Management"
+type: concept
+tags:
+  - Security
+  - Cloud
+  - DevOps
+last_updated: 2026-04-14
+---
+
+## Definition
+密钥管理（Secrets Management）是指管理数字认证凭证（密码、密钥、API、Tokens）的工具和方法论，用于确保应用服务、特权账号和 IT 生态中其他敏感部分的安全存储与访问控制。
+
+## Core Components
+- **凭证存储**：安全存储密码、API 密钥、数据库凭证、证书等敏感数据
+- **访问控制**：基于 IAM 角色和标签的精细化权限管理
+- **密钥轮换**：自动化定期更换密钥以降低泄露风险
+- **审计日志**：记录所有密钥访问和变更操作
+- **与 CI/CD 集成**：从集中化存储而非代码库中获取密钥
+
+## Key Tools
+- [[AWS-Secrets-Manager]]：AWS 托管服务，开箱即用集成 RDS/Redshift/DynamoDB
+- [[HashiCorp-Vault]]：自托管、云厂商无关，支持动态密钥和嵌入式证书签名
+
+## Related Concepts
+- [[API-Key-Rotation]]：API 密钥的定期更换机制
+- [[IAM]]：身份与访问管理，是密钥访问控制的基础
+- [[CI/CD-Secrets]]：CI/CD 流水线中的密钥管理最佳实践
+- [[Secret-Rotation]]：密钥轮换的具体实现机制
+
+## Sources
+- [[ctp-topic-37-secrets-certificates-management]]
+- [[ctp-topic-62-aws-secrets-manager]]

wiki/index.md

@@ -5,6 +5,7 @@
 
 ## Sources
 - [2026-04-24] [CTP Topic 62 AWS Secrets Manager](sources/ctp-topic-62-aws-secrets-manager.md)
+- [2026-04-14] [CTP Topic 37 Secrets Certificates Management](sources/ctp-topic-37-secrets-certificates-management.md)
 - [2026-04-24] [Public Cloud Learning Sessions - OpenText GIS Security Policies - 20241015](sources/public-cloud-learning-sessions-opentext-gis-security-policies-20241015-160257-me.md)
 - [2026-04-24] [CTP Topic 64 Scaling out with Amazon EKS](sources/ctp-topic-64-scaling-out-with-amazon-eks.md)
 - [2026-04-24] [CTP Topic 67 Cloud native observability using OpenTelemetry](sources/ctp-topic-67-cloud-native-observability-using-opentelemetry.md)

wiki/sources/ctp-topic-37-secrets-certificates-management.md

@@ -0,0 +1,58 @@
+---
+title: "CTP Topic 37 Secrets Certificates Management"
+type: source
+tags:
+  - AWS
+  - Secrets-Manager
+  - Certificates
+  - Security
+  - CTP
+date: 2026-04-14
+---
+
+## Source File
+- [[Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-37-secrets-certificates-management]]
+
+## Summary（用中文描述）
+- 核心主题：云转型计划中的密钥与证书管理解决方案选型与实施
+- 问题域：工作负载迁移至公有云过程中的密钥管理标准化需求，涉及应用服务特权账号、API密钥、Tokens等敏感凭证的安全管理
+- 方法/机制：通过30天试点对比评估 AWS Secrets Manager 与 HashiCorp Vault，最终选定 AWS Secrets Manager；实施阶段从 CI/CD 流程中清除明文密码和密钥，集中化管理并自动化密钥获取
+- 结论/价值：AWS Secrets Manager 以更低成本和更简实施胜出；AWS 在账户级别管理密钥可降低成本并提升安全性
+
+## Key Claims（用中文描述）
+- AWS Secrets Manager 通过内置集成 RDS/Redshift/DynamoDB 和高可用/DR 能力，以按用量计费模式提供简单实施体验
+- HashiCorp Vault 免费版缺乏企业级能力（高可用、多租户），企业版按用户数收费
+- Micro Focus PAM 因需要大量投资才能具备竞争力且缺乏投资计划而被放弃
+- AWS Secrets Manager 的 30 天试点验证了开箱即用功能，同时识别出缺失功能（SSH 密钥轮换、用户密码轮换）
+- 实施阶段首先从 Control Tower 开始，从 CI/CD 流程中清除明文密码和密钥
+
+## Key Quotes
+> "AWS Secrets Manager is easy and simple to implement." — 试点结论
+
+> "AWS manages secrets at the account level, which can reduce costs and increase security." — 实施阶段核心理念
+
+## Key Concepts
+- [[Secrets-Management]]：数字认证凭证（密码、密钥、API、Tokens）的管理工具和方法论，确保应用服务、特权账号等敏感信息的安全存储与访问控制
+- [[AWS-Secrets-Manager]]：AWS 托管的密钥管理服务，提供内置 RDS/Redshift/DynamoDB 集成，支持高可用和灾难恢复，按用量计费
+- [[HashiCorp-Vault]]：自托管、云厂商无关的密钥管理解决方案，支持按需动态密钥和嵌入式证书签名，按用户数收费
+- [[PAM（Privileged-Access-Management）]]：特权访问管理，通过 CyberArk Micro Focus PAM 实现特权账号的安全管控
+- [[Secret-Rotation]]：密钥轮换机制，自动定期更换密钥以降低泄露风险，AWS Secrets Manager 支持数据库凭证自动轮换
+- [[CI/CD-Secrets]]：CI/CD 流程中的密钥管理，从明文存储迁移至集中化密钥管理服务
+
+## Key Entities
+- [[Micro-Focus]]：企业客户，云转型计划（CTP）的主体，评估并选定 AWS Secrets Manager 作为密钥管理方案
+- [[CCLE]]：Cloud Center of Excellence 团队，2022年3月负责探索 Micro Focus 用例并评估密钥管理解决方案
+- [[AWS]]：云服务提供商，AWS Secrets Manager 的提供方
+- [[HashiCorp]]：Vault 产品提供方，开源版和商业企业版均参与评估
+- [[CyberArk]]：Micro Focus PAM 的技术提供方
+
+## Connections
+- [[ctp-topic-62-aws-secrets-manager]] ← extends ← [[ctp-topic-37-secrets-certificates-management]]
+- [[ctp-topic-36-sendgrid-as-an-email-service]] ← shares_security_domain ← [[ctp-topic-37-secrets-certificates-management]]
+- [[ctp-topic-5-aws-identity-and-access-management-iam]] ← related_to ← [[ctp-topic-37-secrets-certificates-management]]
+
+## Contradictions
+- 与 [[ctp-topic-62-aws-secrets-manager]] 潜在补充关系：
+  - 冲突点：Topic 37 试点阶段认为 AWS Secrets Manager "easy and simple"；Topic 62 深入实践发现 JDBC Wrapper + Lambda 函数等实施细节复杂度
+  - 当前观点：Topic 37 的快速试点结论与 Topic 62 的企业级深度实践一致，AWS Secrets Manager 被正式选定为标准方案
+  - 对方观点：Topic 62 在 Topic 37 基础上补充了 Oracle DB 密码轮换等高级用例和实施最佳实践