---
title: "Secrets Management"
type: concept
tags: [security, devops, best-practices]
sources: [ctp-topic-37-secrets-certificates-management, ctp-topic-62-aws-secrets-manager]
last_updated: 2026-04-19
---

## Summary
密钥管理是企业管理数字认证凭证（密码、API Token、加密密钥、证书）的系统性方法，确保应用服务、特权账户和 IT 生态系统中敏感信息的安全存储、访问控制和自动轮换。

## Definition
管理数字认证凭证、密钥、密码、API 和 Token 等敏感信息的工具和方法，涵盖存储、访问控制、轮换、审计全生命周期。

## Core Components
- **密钥存储**：集中化安全存储敏感信息
- **访问控制**：基于身份的细粒度权限管理
- **自动轮换**：定时自动更新密钥降低泄露风险
- **审计日志**：记录所有访问和操作行为

## Implementation Patterns
- **托管服务**：AWS Secrets Manager、Azure Key Vault、GCP Secret Manager
- **自托管方案**：HashiCorp Vault（支持动态密钥、证书签名）
- **特权访问管理**：CyberArk PAM、Micro Focus PAM

## Best Practices
- 避免明文存储密钥
- 实施最小权限原则
- 启用自动轮换
- 集中化密钥管理
- 集成 CI/CD 流程

## Connections
- [[Secrets Management]] ← 应用于 ← [[CI/CD]]
- [[AWS Secrets Manager]] ← 实现 ← [[Secrets Management]]
- [[HashiCorp Vault]] ← 实现 ← [[Secrets Management]]
- [[Zero-Trust-Architecture]] ← 要求 ← [[Secrets Management]]