---
title: "AWS Secrets Manager"
type: concept
tags:
  - AWS
  - Secrets-Management
  - Security
last_updated: 2026-04-14
---

## Definition
AWS Secrets Manager 是 AWS 提供的完全托管式密钥管理服务，用于安全存储和检索应用程序、服务和 IT 资源的密钥。

## Core Features
- **内置数据库集成**：开箱即用支持 AWS RDS、Redshift、DynamoDB 等服务的密钥管理
- **高可用与 DR**：托管服务自动实现跨可用区高可用和灾难恢复
- **按用量计费**：基于 API 调用次数计费，无需预付成本
- **自动密钥轮换**：通过 Lambda 函数实现数据库凭证自动轮换
- **IAM 访问控制**：通过 IAM 角色和标签实现精细化权限管理
- **账户级管理**：AWS 在账户级别管理密钥，可降低成本并提升安全性

## Evaluation vs HashiCorp Vault
| 维度 | AWS Secrets Manager | HashiCorp Vault |
|------|---------------------|-----------------|
| 部署模式 | 完全托管 | 自托管 |
| 云厂商 | AWS 原生 | 云厂商无关 |
| 成本模型 | 按用量计费 | 按用户数收费 |
| 高可用 | 内置 | 企业版才支持 |
| 动态密钥 | 支持 | 支持 |
| 证书签名 | 不支持原生 | 支持嵌入式签名 |
| 实施复杂度 | 简单易用 | 需要专业知识 |

## Implementation Phases
1. **试点阶段（30天）**：验证开箱即用功能，识别缺失功能（SSH 密钥轮换、用户密码轮换）
2. **实施阶段**：从 Control Tower 开始，从 CI/CD 流程中清除明文密码和密钥，集中化管理

## Sources
- [[ctp-topic-37-secrets-certificates-management]]（选型评估）
- [[ctp-topic-62-aws-secrets-manager]]（企业级深度实践）