---
title: "CTP Topic 62 AWS Secrets Manager"
type: source
tags: []
date: 2026-04-14
---

## Source File
- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-62-aws-secrets-manager.md]]

## Summary（用中文描述）
- 核心主题：AWS Secrets Manager 企业级密钥管理方案，包括选型对比、实施标准和落地案例
- 问题域：云转型过程中密钥安全存储与轮换的标准化治理
- 方法/机制：分阶段实施策略（集中化密钥 → 自动化获取 → 轮换）；Lambda 函数驱动 Oracle 数据库密码轮换；SendGrid 集中邮件服务的密钥轮换方案；JDBC Wrapper + AWS SDK 无需应用感知密钥
- 结论/价值：AWS Secrets Manager 相比 HashiCorp Vault 成本更低、实施更简单，无需客户端；开发者无需直接访问密钥，通过角色和标签实现安全访问控制

## Key Claims（用中文描述）
- AWS Secrets Manager 比 HashiCorp Vault 更具成本效益，被选定为最终方案
- AWS Secrets Manager 易于实施，缺失功能可用多种语言自行开发
- 分阶段实施策略：集中化密钥 → 调整自动化获取 → 启动轮换
- 开发者无需直接访问密钥，密钥访问通过 IAM 角色控制
- Lambda 函数可执行 Oracle 数据库密码轮换，无需人工介入
- SendGrid 集中邮件服务实现 API 密钥轮换，无需应用重启
- AWS Secrets Manager 无需客户端软件（对比 HashiCorp Vault）

## Key Quotes
> "AWS Secrets Manager is easy and simple to implement. Missing features can be developed in multiple languages." — Nurit & Daniel
> "With that idea, developers actually do not need to have direct access to their Secrets." — Daniel
> "Secrets can be tagged for classification and access control. AWS Secrets Manager does not require clients, unlike HashiCorp Vault." — Victor（Demo）

## Key Concepts
- [[Secrets-Management（密钥管理）]]：云环境下集中存储、获取和轮换敏感凭证（密码、API 密钥、证书）的标准化实践
- [[AWS-Secrets-Manager]]：AWS 托管的密钥管理服务，支持密钥轮换、IAM 角色访问控制和标签分类，无需客户端软件
- [[Secret-Rotation（密钥轮换）]]：定期自动更新密钥的机制，AWS Secrets Manager 内置 Lambda 函数支持主流数据库和服务密钥轮换
- [[JDBC-Wrapper]]：JDBC 包装器封装数据库连接，通过 AWS SDK 从 Secrets Manager 动态获取凭证，应用无需硬编码密码
- [[AWS-Lambda]]：无服务器函数，用于执行 Oracle 数据库密码轮换等自动化任务
- [[SendGrid]]：云邮件服务，API 密钥轮换通过集中化 SMTP 服务实现，无需应用重启

## Key Entities
- [[Nurit]]：CTP Topic 62 主持人，AWS Secrets Manager 实施分享
- [[Daniel]]：CTP Topic 62 主持人，AWS Secrets Management Standard 文档作者，深度解析实施机会
- [[Victor]]：Demo 演示者，展示使用 JDBC Wrapper + AWS SDK 免密登录 Oracle 数据库
- [[AWS-Secrets-Manager]]：AWS 密钥管理服务，企业选型最终方案
- [[HashiCorp-Vault]]：密钥管理备选方案，POC 阶段对比后未被采用
- [[AWS-Control-Tower]]：AWS 多账户治理服务，密钥管理方案基于其环境实施
- [[SendGrid]]：邮件服务，API 密钥轮换通过集中化服务方案解决

## Connections
- [[ctp-topic-37-secrets-certificates-management]] ← relates_to ← [[ctp-topic-62-aws-secrets-manager]]
- [[ctp-topic-36-sendgrid-as-an-email-service]] ← extends ← [[ctp-topic-62-aws-secrets-manager]]
- [[ctp-topic-61-workload-vpc-provision-with-ipam-automation]] ← depends_on ← [[AWS-Secrets-Manager]]
- [[ctp-topic-10-aws-landing-zone-lz-data-collection-tagging-related-security]] ← extends ← [[ctp-topic-62-aws-secrets-manager]]

## Contradictions
- 与 [[ctp-topic-37-secrets-certificates-management]] 存在覆盖范围差异：
  - 冲突点：Topic 37 覆盖 Secrets 和 Certificates 两大类；Topic 62 仅聚焦 Secrets Management
  - 当前观点：Topic 62 通过 AWS Secrets Manager 标准化 Secrets 管理，涵盖 Oracle DB 密码和 SendGrid API 密钥轮换
  - 对方观点：Topic 37 认为密钥与证书管理应统一为同一标准框架
  - 说明：两者可视为互补——证书管理（Certificates）由 Topic 37 覆盖，密钥管理（Secrets）由 Topic 62 深化