59 lines
3.9 KiB
Markdown
59 lines
3.9 KiB
Markdown
---
|
||
title: "CTP Topic 37 Secrets Certificates Management"
|
||
type: source
|
||
tags:
|
||
- AWS
|
||
- Secrets-Manager
|
||
- Certificates
|
||
- Security
|
||
- CTP
|
||
date: 2026-04-14
|
||
---
|
||
|
||
## Source File
|
||
- [[Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-37-secrets-certificates-management]]
|
||
|
||
## Summary(用中文描述)
|
||
- 核心主题:云转型计划中的密钥与证书管理解决方案选型与实施
|
||
- 问题域:工作负载迁移至公有云过程中的密钥管理标准化需求,涉及应用服务特权账号、API密钥、Tokens等敏感凭证的安全管理
|
||
- 方法/机制:通过30天试点对比评估 AWS Secrets Manager 与 HashiCorp Vault,最终选定 AWS Secrets Manager;实施阶段从 CI/CD 流程中清除明文密码和密钥,集中化管理并自动化密钥获取
|
||
- 结论/价值:AWS Secrets Manager 以更低成本和更简实施胜出;AWS 在账户级别管理密钥可降低成本并提升安全性
|
||
|
||
## Key Claims(用中文描述)
|
||
- AWS Secrets Manager 通过内置集成 RDS/Redshift/DynamoDB 和高可用/DR 能力,以按用量计费模式提供简单实施体验
|
||
- HashiCorp Vault 免费版缺乏企业级能力(高可用、多租户),企业版按用户数收费
|
||
- Micro Focus PAM 因需要大量投资才能具备竞争力且缺乏投资计划而被放弃
|
||
- AWS Secrets Manager 的 30 天试点验证了开箱即用功能,同时识别出缺失功能(SSH 密钥轮换、用户密码轮换)
|
||
- 实施阶段首先从 Control Tower 开始,从 CI/CD 流程中清除明文密码和密钥
|
||
|
||
## Key Quotes
|
||
> "AWS Secrets Manager is easy and simple to implement." — 试点结论
|
||
|
||
> "AWS manages secrets at the account level, which can reduce costs and increase security." — 实施阶段核心理念
|
||
|
||
## Key Concepts
|
||
- [[Secrets-Management]]:数字认证凭证(密码、密钥、API、Tokens)的管理工具和方法论,确保应用服务、特权账号等敏感信息的安全存储与访问控制
|
||
- [[AWS-Secrets-Manager]]:AWS 托管的密钥管理服务,提供内置 RDS/Redshift/DynamoDB 集成,支持高可用和灾难恢复,按用量计费
|
||
- [[HashiCorp-Vault]]:自托管、云厂商无关的密钥管理解决方案,支持按需动态密钥和嵌入式证书签名,按用户数收费
|
||
- [[PAM(Privileged-Access-Management)]]:特权访问管理,通过 CyberArk Micro Focus PAM 实现特权账号的安全管控
|
||
- [[Secret-Rotation]]:密钥轮换机制,自动定期更换密钥以降低泄露风险,AWS Secrets Manager 支持数据库凭证自动轮换
|
||
- [[CI/CD-Secrets]]:CI/CD 流程中的密钥管理,从明文存储迁移至集中化密钥管理服务
|
||
|
||
## Key Entities
|
||
- [[Micro-Focus]]:企业客户,云转型计划(CTP)的主体,评估并选定 AWS Secrets Manager 作为密钥管理方案
|
||
- [[CCLE]]:Cloud Center of Excellence 团队,2022年3月负责探索 Micro Focus 用例并评估密钥管理解决方案
|
||
- [[AWS]]:云服务提供商,AWS Secrets Manager 的提供方
|
||
- [[HashiCorp]]:Vault 产品提供方,开源版和商业企业版均参与评估
|
||
- [[CyberArk]]:Micro Focus PAM 的技术提供方
|
||
|
||
## Connections
|
||
- [[ctp-topic-62-aws-secrets-manager]] ← extends ← [[ctp-topic-37-secrets-certificates-management]]
|
||
- [[ctp-topic-36-sendgrid-as-an-email-service]] ← shares_security_domain ← [[ctp-topic-37-secrets-certificates-management]]
|
||
- [[ctp-topic-5-aws-identity-and-access-management-iam]] ← related_to ← [[ctp-topic-37-secrets-certificates-management]]
|
||
|
||
## Contradictions
|
||
- 与 [[ctp-topic-62-aws-secrets-manager]] 潜在补充关系:
|
||
- 冲突点:Topic 37 试点阶段认为 AWS Secrets Manager "easy and simple";Topic 62 深入实践发现 JDBC Wrapper + Lambda 函数等实施细节复杂度
|
||
- 当前观点:Topic 37 的快速试点结论与 Topic 62 的企业级深度实践一致,AWS Secrets Manager 被正式选定为标准方案
|
||
- 对方观点:Topic 62 在 Topic 37 基础上补充了 Oracle DB 密码轮换等高级用例和实施最佳实践
|