Auto-sync: 2026-04-19 14:51

wiki/concepts/Secrets-Management.md

@@ -0,0 +1,37 @@
+---
+title: "Secrets Management"
+type: concept
+tags: [security, devops, best-practices]
+sources: [ctp-topic-37-secrets-certificates-management, ctp-topic-62-aws-secrets-manager]
+last_updated: 2026-04-19
+---
+
+## Summary
+密钥管理是企业管理数字认证凭证（密码、API Token、加密密钥、证书）的系统性方法，确保应用服务、特权账户和 IT 生态系统中敏感信息的安全存储、访问控制和自动轮换。
+
+## Definition
+管理数字认证凭证、密钥、密码、API 和 Token 等敏感信息的工具和方法，涵盖存储、访问控制、轮换、审计全生命周期。
+
+## Core Components
+- **密钥存储**：集中化安全存储敏感信息
+- **访问控制**：基于身份的细粒度权限管理
+- **自动轮换**：定时自动更新密钥降低泄露风险
+- **审计日志**：记录所有访问和操作行为
+
+## Implementation Patterns
+- **托管服务**：AWS Secrets Manager、Azure Key Vault、GCP Secret Manager
+- **自托管方案**：HashiCorp Vault（支持动态密钥、证书签名）
+- **特权访问管理**：CyberArk PAM、Micro Focus PAM
+
+## Best Practices
+- 避免明文存储密钥
+- 实施最小权限原则
+- 启用自动轮换
+- 集中化密钥管理
+- 集成 CI/CD 流程
+
+## Connections
+- [[Secrets Management]] ← 应用于 ← [[CI/CD]]
+- [[AWS Secrets Manager]] ← 实现 ← [[Secrets Management]]
+- [[HashiCorp Vault]] ← 实现 ← [[Secrets Management]]
+- [[Zero-Trust-Architecture]] ← 要求 ← [[Secrets Management]]