Auto-sync: update nexus workspace

wiki/sources/ctp-topic-62-aws-secrets-manager.md

@@ -1,59 +1,57 @@
 ---
 title: "CTP Topic 62 AWS Secrets Manager"
 type: source
-tags: []
+tags:
+  - AWS
+  - Secrets-Manager
+  - Security
+  - CTP
+  - Cloud-Transformation
 date: 2026-04-14
 ---
 
 ## Source File
-- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-62-aws-secrets-manager.md]]
+- [[Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-62-aws-secrets-manager.md]]
 
 ## Summary（用中文描述）
-- 核心主题：AWS Secrets Manager 企业级密钥管理方案，包括选型对比、实施标准和落地案例
-- 问题域：云转型过程中密钥安全存储与轮换的标准化治理
-- 方法/机制：分阶段实施策略（集中化密钥 → 自动化获取 → 轮换）；Lambda 函数驱动 Oracle 数据库密码轮换；SendGrid 集中邮件服务的密钥轮换方案；JDBC Wrapper + AWS SDK 无需应用感知密钥
-- 结论/价值：AWS Secrets Manager 相比 HashiCorp Vault 成本更低、实施更简单，无需客户端；开发者无需直接访问密钥，通过角色和标签实现安全访问控制
+- 核心主题：AWS Secrets Manager 在企业云转型项目中的实施与标准化
+- 问题域：如何在多账户、多团队的企业环境中集中管理 Secrets，实现安全的密码轮换
+- 方法/机制：采用渐进式方法：集中 Secrets → 调整自动化工具 → 启动自动轮换；通过 Lambda 函数配合 JDBC Wrapper 实现无密码数据库访问
+- 结论/价值：AWS Secrets Manager 相较 HashiCorp Vault 成本更低、实现更简单，无需客户端；与 Control Tower 集成可实现企业级 Secrets 管理标准化
 
 ## Key Claims（用中文描述）
-- AWS Secrets Manager 比 HashiCorp Vault 更具成本效益，被选定为最终方案
-- AWS Secrets Manager 易于实施，缺失功能可用多种语言自行开发
-- 分阶段实施策略：集中化密钥 → 调整自动化获取 → 启动轮换
-- 开发者无需直接访问密钥，密钥访问通过 IAM 角色控制
-- Lambda 函数可执行 Oracle 数据库密码轮换，无需人工介入
-- SendGrid 集中邮件服务实现 API 密钥轮换，无需应用重启
-- AWS Secrets Manager 无需客户端软件（对比 HashiCorp Vault）
+- AWS Secrets Manager 被选为 Secrets 管理平台，相比 HashiCorp Vault 更具成本效益
+- 三阶段实施方法：集中 Secrets → 调整自动化获取流程 → 启动轮换机制
+- 开发者无需直接访问 Secrets，通过角色和 AWS 凭证授权
+- Lambda 函数可连接 Oracle 数据库执行密码轮换，无需通过邮件发送密码
+- SendGrid API Key 轮换可通过集中式 SMTP 服务实现，无需应用重启
 
 ## Key Quotes
-> "AWS Secrets Manager is easy and simple to implement. Missing features can be developed in multiple languages." — Nurit & Daniel
-> "With that idea, developers actually do not need to have direct access to their Secrets." — Daniel
-> "Secrets can be tagged for classification and access control. AWS Secrets Manager does not require clients, unlike HashiCorp Vault." — Victor（Demo）
+> "AWS Secrets Manager is easy and simple to implement." — Nurit & Daniel, 实施经验总结
+> "With that idea, developers actually do not need to have direct access to their Secrets." — Secrets Management 标准化文档核心理念
+> "AWS Secrets Manager does not require clients, unlike HashiCorp Vault." — 技术对比结论
 
 ## Key Concepts
-- [[Secrets-Management（密钥管理）]]：云环境下集中存储、获取和轮换敏感凭证（密码、API 密钥、证书）的标准化实践
-- [[AWS-Secrets-Manager]]：AWS 托管的密钥管理服务，支持密钥轮换、IAM 角色访问控制和标签分类，无需客户端软件
-- [[Secret-Rotation（密钥轮换）]]：定期自动更新密钥的机制，AWS Secrets Manager 内置 Lambda 函数支持主流数据库和服务密钥轮换
-- [[JDBC-Wrapper]]：JDBC 包装器封装数据库连接，通过 AWS SDK 从 Secrets Manager 动态获取凭证，应用无需硬编码密码
-- [[AWS-Lambda]]：无服务器函数，用于执行 Oracle 数据库密码轮换等自动化任务
-- [[SendGrid]]：云邮件服务，API 密钥轮换通过集中化 SMTP 服务实现，无需应用重启
+- [[SecretsManagement]]：在云环境中集中存储、管理、安全轮换敏感凭据（密码、API Key、证书）的实践
+- [[SecretRotation]]：定期自动更换 Secrets 的机制，防止长期密钥泄露风险
+- [[JDBCWrapper]]：通过 JDBC 包装器配合 AWS SDK 从 Secrets Manager 动态获取数据库凭据，无需硬编码密码
+- [[ControlTower]]：AWS Control Tower 提供多账户治理和合规性管理
 
 ## Key Entities
-- [[Nurit]]：CTP Topic 62 主持人，AWS Secrets Manager 实施分享
-- [[Daniel]]：CTP Topic 62 主持人，AWS Secrets Management Standard 文档作者，深度解析实施机会
-- [[Victor]]：Demo 演示者，展示使用 JDBC Wrapper + AWS SDK 免密登录 Oracle 数据库
-- [[AWS-Secrets-Manager]]：AWS 密钥管理服务，企业选型最终方案
-- [[HashiCorp-Vault]]：密钥管理备选方案，POC 阶段对比后未被采用
-- [[AWS-Control-Tower]]：AWS 多账户治理服务，密钥管理方案基于其环境实施
-- [[SendGrid]]：邮件服务，API 密钥轮换通过集中化服务方案解决
+- [[Nurit]]：演讲者，AWS Secrets Manager 实施经验分享
+- [[Daniel]]：演讲者，AWS Secrets Management Standard 文档负责人
+- [[Victor]]：现场演示无需密码的 Oracle 数据库登录
+- [[HashiCorpVault]]：AWS Secrets Manager 的替代方案，POC 阶段被否决
+- [[AWSControlTower]]：多账户 AWS 环境治理平台
+- [[SendGrid]]：邮件服务提供商，API Key 轮换是实施机会之一
 
 ## Connections
-- [[ctp-topic-37-secrets-certificates-management]] ← relates_to ← [[ctp-topic-62-aws-secrets-manager]]
-- [[ctp-topic-36-sendgrid-as-an-email-service]] ← extends ← [[ctp-topic-62-aws-secrets-manager]]
-- [[ctp-topic-61-workload-vpc-provision-with-ipam-automation]] ← depends_on ← [[AWS-Secrets-Manager]]
-- [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] ← extends ← [[ctp-topic-62-aws-secrets-manager]]
+- [[CTP-Topic-37-Secrets-Certificates-Management]] ← related_to ← [[CTP-Topic-62-AWS-Secrets-Manager]]
+- [[AWS-Control-Tower]] ← centralizes ← [[Secrets-Management]]
+- [[CTP-Topic-36-SendGrid-as-an-Email-Service]] ← relates_to ← [[SendGrid-API-Rotation]]
 
 ## Contradictions
-- 与 [[ctp-topic-37-secrets-certificates-management]] 存在覆盖范围差异：
-  - 冲突点：Topic 37 覆盖 Secrets 和 Certificates 两大类；Topic 62 仅聚焦 Secrets Management
-  - 当前观点：Topic 62 通过 AWS Secrets Manager 标准化 Secrets 管理，涵盖 Oracle DB 密码和 SendGrid API 密钥轮换
-  - 对方观点：Topic 37 认为密钥与证书管理应统一为同一标准框架
-  - 说明：两者可视为互补——证书管理（Certificates）由 Topic 37 覆盖，密钥管理（Secrets）由 Topic 62 深化
+- 与 [[HashiCorp-Vault]] 对比：
+  - 冲突点：两种 Secrets 管理方案的选型
+  - 当前观点：AWS Secrets Manager 被选中，因其成本更低、实现更简单
+  - 对方观点：HashiCorp Vault 在 POC 阶段被评估，但因成本原因未被采用