Auto-sync: update nexus workspace

wiki/concepts/SecretRotation.md

@@ -0,0 +1,92 @@
+---
+title: "SecretRotation"
+type: concept
+tags:
+  - AWS
+  - Security
+  - Automation
+  - DevOps
+---
+
+## Definition
+
+Secret Rotation（密钥轮换）是指定期自动更换敏感凭据（密码、API Key、证书等）的安全机制，旨在防止长期密钥泄露导致的安全风险。
+
+## Why Rotate Secrets?
+
+1. **降低泄露风险**：即使密钥被意外泄露，轮换机制可限制暴露窗口
+2. **合规要求**：满足 SOC 2、PCI-DSS 等安全合规标准
+3. **密钥生命周期管理**：遵循安全最佳实践中的密钥生命周期原则
+4. **应对内部威胁**：限制离职员工或恶意内部人员的凭据滥用
+
+## AWS Secrets Manager Rotation Strategies
+
+### Built-in Rotation Lambdas
+
+AWS Secrets Manager 为以下服务提供开箱即用的轮换 Lambda 函数：
+- **RDS 数据库**：MySQL、PostgreSQL、MariaDB、Oracle、SQL Server、Aurora
+- **Redshift**
+- **DocumentDB**
+
+### Custom Rotation Patterns
+
+#### Oracle Database Password Rotation
+
+```
+用户密码存储在 Secrets Manager
+        ↓
+Lambda 函数被触发（或定时）
+        ↓
+Lambda 连接 Oracle 实例（使用当前凭据）
+        ↓
+生成新密码
+        ↓
+更新数据库中的用户密码
+        ↓
+更新 Secrets Manager 中的密码
+        ↓
+完成轮换
+```
+
+**关键优势**：无需通过邮件发送新密码，通过 AWS 角色授权访问 Secrets
+
+#### SendGrid API Key Rotation
+
+- **问题**：多个团队各自管理 SendGrid API Key，轮换需要代码变更和重启应用
+- **解决方案**：集中式 SMTP 服务统一处理 SendGrid 轮换，应用只连接内部 SMTP 服务器
+- **实现**：SMTP 服务在端口 1025 提供服务，应用无需感知后端 API Key 变更
+
+## Rotation Triggers
+
+| 触发方式 | 说明 |
+|---------|------|
+| 定时轮换 | 按固定间隔（天数）自动触发 |
+| 手动触发 | 通过 AWS CLI 或 Console 手动启动 |
+| API 调用 | 通过 `rotateSecret` API 编程触发 |
+| 事件驱动 | CloudWatch Events 触发 Lambda |
+
+## Best Practices
+
+1. **先集中，后轮换**：先完成 Secrets 集中化管理，再启用轮换
+2. **测试回滚**：轮换失败时的回滚机制测试
+3. **应用兼容性**：确保应用支持动态获取新凭据（使用 JDBC Wrapper、SDK 等）
+4. **监控告警**：轮换失败时的告警通知机制
+5. **分阶段实施**：先低风险系统试点，再推广至生产环境
+
+## Related Concepts
+
+- [[SecretsManagement]]：敏感信息管理的整体框架
+- [[JDBCWrapper]]：数据库应用获取动态凭据的方式
+- [[Lambda]]：用于执行轮换逻辑的无服务器函数
+- [[ControlTower]]：企业级 Secrets 管理的治理框架
+
+## Sources
+
+- [[CTP-Topic-62-AWS-Secrets-Manager]] — Oracle 数据库和 SendGrid API Key 轮换实施案例
+
+## Aliases
+
+- Key Rotation
+- Credential Rotation
+- Password Rotation
+- API Key Rotation