---
title: "CTP Topic 37 Secrets Certificates Management"
type: source
tags:
  - AWS
  - Secrets-Manager
  - Certificates
  - Security
  - CTP
date: 2026-04-14
---

## Source File
- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-37-secrets-certificates-management.md]]

## Summary（用中文描述）
- 核心主题：云转型计划中的密钥与证书管理解决方案选型与实施
- 问题域：工作负载迁移至公有云过程中的密钥管理标准化需求，涉及应用服务特权账号、API密钥、Tokens等敏感凭证的安全管理
- 方法/机制：通过30天试点对比评估 AWS Secrets Manager 与 HashiCorp Vault，最终选定 AWS Secrets Manager；实施阶段从 CI/CD 流程中清除明文密码和密钥，集中化管理并自动化密钥获取
- 结论/价值：AWS Secrets Manager 以更低成本和更简实施胜出；AWS 在账户级别管理密钥可降低成本并提升安全性

## Key Claims（用中文描述）
- AWS Secrets Manager 通过内置集成 RDS/Redshift/DynamoDB 和高可用/DR 能力，以按用量计费模式提供简单实施体验
- HashiCorp Vault 免费版缺乏企业级能力（高可用、多租户），企业版按用户数收费
- Micro Focus PAM 因需要大量投资才能具备竞争力且缺乏投资计划而被放弃
- AWS Secrets Manager 的 30 天试点验证了开箱即用功能，同时识别出缺失功能（SSH 密钥轮换、用户密码轮换）
- 实施阶段首先从 Control Tower 开始，从 CI/CD 流程中清除明文密码和密钥

## Key Quotes
> "AWS Secrets Manager is easy and simple to implement." — 试点结论

> "AWS manages secrets at the account level, which can reduce costs and increase security." — 实施阶段核心理念

## Key Concepts
- [[Secrets-Management]]：数字认证凭证（密码、密钥、API、Tokens）的管理工具和方法论，确保应用服务、特权账号等敏感信息的安全存储与访问控制
- [[AWS-Secrets-Manager]]：AWS 托管的密钥管理服务，提供内置 RDS/Redshift/DynamoDB 集成，支持高可用和灾难恢复，按用量计费
- [[HashiCorp-Vault]]：自托管、云厂商无关的密钥管理解决方案，支持按需动态密钥和嵌入式证书签名，按用户数收费
- [[PAM（Privileged-Access-Management）]]：特权访问管理，通过 CyberArk Micro Focus PAM 实现特权账号的安全管控
- [[Secret-Rotation]]：密钥轮换机制，自动定期更换密钥以降低泄露风险，AWS Secrets Manager 支持数据库凭证自动轮换
- [[CI/CD-Secrets]]：CI/CD 流程中的密钥管理，从明文存储迁移至集中化密钥管理服务

## Key Entities
- [[Micro-Focus]]：企业客户，云转型计划（CTP）的主体，评估并选定 AWS Secrets Manager 作为密钥管理方案
- [[CCLE]]：Cloud Center of Excellence 团队，2022年3月负责探索 Micro Focus 用例并评估密钥管理解决方案
- [[AWS]]：云服务提供商，AWS Secrets Manager 的提供方
- [[HashiCorp]]：Vault 产品提供方，开源版和商业企业版均参与评估
- [[CyberArk]]：Micro Focus PAM 的技术提供方

## Connections
- [[ctp-topic-62-aws-secrets-manager]] ← extends ← [[ctp-topic-37-secrets-certificates-management]]
- [[ctp-topic-36-sendgrid-as-an-email-service]] ← shares_security_domain ← [[ctp-topic-37-secrets-certificates-management]]
- [[ctp-topic-5-aws-identity-and-access-management-iam]] ← related_to ← [[ctp-topic-37-secrets-certificates-management]]

## Contradictions
- 与 [[ctp-topic-62-aws-secrets-manager]] 潜在补充关系：
  - 冲突点：Topic 37 试点阶段认为 AWS Secrets Manager "easy and simple"；Topic 62 深入实践发现 JDBC Wrapper + Lambda 函数等实施细节复杂度
  - 当前观点：Topic 37 的快速试点结论与 Topic 62 的企业级深度实践一致，AWS Secrets Manager 被正式选定为标准方案
  - 对方观点：Topic 62 在 Topic 37 基础上补充了 Oracle DB 密码轮换等高级用例和实施最佳实践