Auto-sync: 2026-04-19 14:51

wiki/sources/ctp-topic-62-aws-secrets-manager.md

@@ -0,0 +1,58 @@
+---
+title: "CTP Topic 62 AWS Secrets Manager"
+type: source
+tags:
+  - AWS
+  - Secrets-Manager
+  - Security
+  - CTP
+  - Cloud-Learning
+date: 2026-04-14
+---
+
+## Source File
+- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-62-aws-secrets-manager.md]]
+
+## Summary
+- 核心主题：AWS Secrets Manager 在企业云环境中的实施与最佳实践
+- 问题域：敏感信息（密码、API密钥）管理、安全集中化、密钥轮换
+- 方法/机制：AWS Secrets Manager 集中化管理、分阶段实施（集中→自动化获取→轮换）、Lambda 函数实现数据库密码轮换、JDBC Wrapper 无密码登录
+- 结论/价值：AWS Secrets Manager 是 HashiCorp Vault 的成本效益替代方案，通过分阶段方法实现开发人员无需直接访问敏感信息
+
+## Key Claims
+- AWS Secrets Manager 易于实施且成本效益优于 HashiCorp Vault
+- 分阶段实施方法：集中化敏感信息→调整自动化获取→启动密钥轮换
+- 开发人员实际上不需要直接访问敏感信息
+- Control Tower 堆栈重新设计确保所有堆栈使用相同的密钥
+- AWS Secrets Manager 不需要客户端（与 HashiCorp Vault 对比）
+
+## Key Quotes
+> "AWS Secrets Manager is easy and simple to implement." — 演讲者
+> "With that idea, developers actually do not need to have direct access to their Secrets." — 标准文档核心理念
+
+## Key Concepts
+- [[AWS Secrets Manager]]：AWS 云原生敏感信息管理服务
+- [[Secret Rotation]]：密钥轮换，自动更新存储的敏感信息
+- [[JDBC Wrapper]]：使用 AWS SDK 从 Secrets Manager 检索密钥的 JDBC 包装器
+- [[Control Tower]]：AWS Control Tower 用于设置安全的多账号 AWS 环境
+- [[HashiCorp Vault]]：企业级敏感信息管理工具（对比方案）
+- [[Lambda Rotation]]：使用 Lambda 函数执行数据库密码轮换
+
+## Key Entities
+- [[Nurit]]：演讲者之一
+- [[Daniel]]：演讲者之一，分享实施机会
+- [[Victor]]：演示无密码 Oracle 数据库登录
+- [[SendGrid]]：集中邮件服务的密钥轮换目标
+- [[Oracle Database]]：通过 Lambda 实现密码轮换的数据库
+
+## Connections
+- [[AWS Secrets Manager]] ← cost_effective_alternative ← [[HashiCorp Vault]]
+- [[CTP]] ← uses ← [[AWS Secrets Manager]]
+- [[Control Tower]] ← secured_by ← [[AWS Secrets Manager]]
+- [[Oracle Database]] ← rotates_password_via ← [[Lambda Rotation]]
+
+## Contradictions
+- 与 HashiCorp Vault 对比：
+  - 冲突点：选择哪个敏感信息管理平台
+  - 当前观点：AWS Secrets Manager 成本效益更优，无需客户端
+  - 对方观点：HashiCorp Vault 功能更全面，适合复杂企业需求