nexus/wiki/sources/ctp-topic-37-secrets-certificates-management.md at 2e0b9940edbcc2e8d4895cb620bcf1378ffbb7ef - nexus - Gitea: Git with a cup of tea

ishenwei/nexus

Files

weishen 761fa71f69 Auto-sync: 2026-04-24 12:02

2026-04-24 12:02:48 +08:00

3.9 KiB

Raw Blame History

title, type, tags, date

title

type

tags

date

CTP Topic 37 Secrets Certificates Management

source

AWS

Secrets-Manager

Certificates

Security

CTP

2026-04-14

Source File

Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-37-secrets-certificates-management

Summary（用中文描述）

核心主题：云转型计划中的密钥与证书管理解决方案选型与实施
问题域：工作负载迁移至公有云过程中的密钥管理标准化需求，涉及应用服务特权账号、API密钥、Tokens等敏感凭证的安全管理
方法/机制：通过30天试点对比评估 AWS Secrets Manager 与 HashiCorp Vault，最终选定 AWS Secrets Manager；实施阶段从 CI/CD 流程中清除明文密码和密钥，集中化管理并自动化密钥获取
结论/价值：AWS Secrets Manager 以更低成本和更简实施胜出；AWS 在账户级别管理密钥可降低成本并提升安全性

Key Claims（用中文描述）

AWS Secrets Manager 通过内置集成 RDS/Redshift/DynamoDB 和高可用/DR 能力，以按用量计费模式提供简单实施体验
HashiCorp Vault 免费版缺乏企业级能力（高可用、多租户），企业版按用户数收费
Micro Focus PAM 因需要大量投资才能具备竞争力且缺乏投资计划而被放弃
AWS Secrets Manager 的 30 天试点验证了开箱即用功能，同时识别出缺失功能（SSH 密钥轮换、用户密码轮换）
实施阶段首先从 Control Tower 开始，从 CI/CD 流程中清除明文密码和密钥

Key Quotes

"AWS Secrets Manager is easy and simple to implement." — 试点结论

"AWS manages secrets at the account level, which can reduce costs and increase security." — 实施阶段核心理念

Key Concepts

Secrets-Management：数字认证凭证（密码、密钥、API、Tokens）的管理工具和方法论，确保应用服务、特权账号等敏感信息的安全存储与访问控制
AWS-Secrets-Manager：AWS 托管的密钥管理服务，提供内置 RDS/Redshift/DynamoDB 集成，支持高可用和灾难恢复，按用量计费
HashiCorp-Vault：自托管、云厂商无关的密钥管理解决方案，支持按需动态密钥和嵌入式证书签名，按用户数收费
PAM（Privileged-Access-Management）：特权访问管理，通过 CyberArk Micro Focus PAM 实现特权账号的安全管控
Secret-Rotation：密钥轮换机制，自动定期更换密钥以降低泄露风险，AWS Secrets Manager 支持数据库凭证自动轮换
CI/CD-Secrets：CI/CD 流程中的密钥管理，从明文存储迁移至集中化密钥管理服务

Key Entities

Micro-Focus：企业客户，云转型计划（CTP）的主体，评估并选定 AWS Secrets Manager 作为密钥管理方案
CCLE：Cloud Center of Excellence 团队，2022年3月负责探索 Micro Focus 用例并评估密钥管理解决方案
AWS：云服务提供商，AWS Secrets Manager 的提供方
HashiCorp：Vault 产品提供方，开源版和商业企业版均参与评估
CyberArk：Micro Focus PAM 的技术提供方

Connections

ctp-topic-62-aws-secrets-manager ← extends ← ctp-topic-37-secrets-certificates-management
ctp-topic-36-sendgrid-as-an-email-service ← shares_security_domain ← ctp-topic-37-secrets-certificates-management
ctp-topic-5-aws-identity-and-access-management-iam ← related_to ← ctp-topic-37-secrets-certificates-management

Contradictions

与 ctp-topic-62-aws-secrets-manager 潜在补充关系：
- 冲突点：Topic 37 试点阶段认为 AWS Secrets Manager "easy and simple"；Topic 62 深入实践发现 JDBC Wrapper + Lambda 函数等实施细节复杂度
- 当前观点：Topic 37 的快速试点结论与 Topic 62 的企业级深度实践一致，AWS Secrets Manager 被正式选定为标准方案
- 对方观点：Topic 62 在 Topic 37 基础上补充了 Oracle DB 密码轮换等高级用例和实施最佳实践