--- title: "CTP Topic 62 AWS Secrets Manager" type: source tags: - AWS - Secrets-Manager - Security - CTP - Cloud-Transformation date: 2026-04-14 --- ## Source File - [[Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-62-aws-secrets-manager.md]] ## Summary(用中文描述) - 核心主题:AWS Secrets Manager 在企业云转型项目中的实施与标准化 - 问题域:如何在多账户、多团队的企业环境中集中管理 Secrets,实现安全的密码轮换 - 方法/机制:采用渐进式方法:集中 Secrets → 调整自动化工具 → 启动自动轮换;通过 Lambda 函数配合 JDBC Wrapper 实现无密码数据库访问 - 结论/价值:AWS Secrets Manager 相较 HashiCorp Vault 成本更低、实现更简单,无需客户端;与 Control Tower 集成可实现企业级 Secrets 管理标准化 ## Key Claims(用中文描述) - AWS Secrets Manager 被选为 Secrets 管理平台,相比 HashiCorp Vault 更具成本效益 - 三阶段实施方法:集中 Secrets → 调整自动化获取流程 → 启动轮换机制 - 开发者无需直接访问 Secrets,通过角色和 AWS 凭证授权 - Lambda 函数可连接 Oracle 数据库执行密码轮换,无需通过邮件发送密码 - SendGrid API Key 轮换可通过集中式 SMTP 服务实现,无需应用重启 ## Key Quotes > "AWS Secrets Manager is easy and simple to implement." — Nurit & Daniel, 实施经验总结 > "With that idea, developers actually do not need to have direct access to their Secrets." — Secrets Management 标准化文档核心理念 > "AWS Secrets Manager does not require clients, unlike HashiCorp Vault." — 技术对比结论 ## Key Concepts - [[SecretsManagement]]:在云环境中集中存储、管理、安全轮换敏感凭据(密码、API Key、证书)的实践 - [[SecretRotation]]:定期自动更换 Secrets 的机制,防止长期密钥泄露风险 - [[JDBCWrapper]]:通过 JDBC 包装器配合 AWS SDK 从 Secrets Manager 动态获取数据库凭据,无需硬编码密码 - [[ControlTower]]:AWS Control Tower 提供多账户治理和合规性管理 ## Key Entities - [[Nurit]]:演讲者,AWS Secrets Manager 实施经验分享 - [[Daniel]]:演讲者,AWS Secrets Management Standard 文档负责人 - [[Victor]]:现场演示无需密码的 Oracle 数据库登录 - [[HashiCorpVault]]:AWS Secrets Manager 的替代方案,POC 阶段被否决 - [[AWSControlTower]]:多账户 AWS 环境治理平台 - [[SendGrid]]:邮件服务提供商,API Key 轮换是实施机会之一 ## Connections - [[CTP-Topic-37-Secrets-Certificates-Management]] ← related_to ← [[CTP-Topic-62-AWS-Secrets-Manager]] - [[AWS-Control-Tower]] ← centralizes ← [[Secrets-Management]] - [[CTP-Topic-36-SendGrid-as-an-Email-Service]] ← relates_to ← [[SendGrid-API-Rotation]] ## Contradictions - 与 [[HashiCorp-Vault]] 对比: - 冲突点:两种 Secrets 管理方案的选型 - 当前观点:AWS Secrets Manager 被选中,因其成本更低、实现更简单 - 对方观点:HashiCorp Vault 在 POC 阶段被评估,但因成本原因未被采用