title, type, tags, last_updated
| title |
type |
tags |
last_updated |
| AWS Secrets Manager |
concept |
| AWS |
| Secrets-Management |
| Security |
|
2026-04-14 |
Definition
AWS Secrets Manager 是 AWS 提供的完全托管式密钥管理服务,用于安全存储和检索应用程序、服务和 IT 资源的密钥。
Core Features
- 内置数据库集成:开箱即用支持 AWS RDS、Redshift、DynamoDB 等服务的密钥管理
- 高可用与 DR:托管服务自动实现跨可用区高可用和灾难恢复
- 按用量计费:基于 API 调用次数计费,无需预付成本
- 自动密钥轮换:通过 Lambda 函数实现数据库凭证自动轮换
- IAM 访问控制:通过 IAM 角色和标签实现精细化权限管理
- 账户级管理:AWS 在账户级别管理密钥,可降低成本并提升安全性
Evaluation vs HashiCorp Vault
| 维度 |
AWS Secrets Manager |
HashiCorp Vault |
| 部署模式 |
完全托管 |
自托管 |
| 云厂商 |
AWS 原生 |
云厂商无关 |
| 成本模型 |
按用量计费 |
按用户数收费 |
| 高可用 |
内置 |
企业版才支持 |
| 动态密钥 |
支持 |
支持 |
| 证书签名 |
不支持原生 |
支持嵌入式签名 |
| 实施复杂度 |
简单易用 |
需要专业知识 |
Implementation Phases
- 试点阶段(30天):验证开箱即用功能,识别缺失功能(SSH 密钥轮换、用户密码轮换)
- 实施阶段:从 Control Tower 开始,从 CI/CD 流程中清除明文密码和密钥,集中化管理
Sources
