40 lines
1.7 KiB
Markdown
40 lines
1.7 KiB
Markdown
---
|
||
title: "AWS Secrets Manager"
|
||
type: concept
|
||
tags:
|
||
- AWS
|
||
- Secrets-Management
|
||
- Security
|
||
last_updated: 2026-04-14
|
||
---
|
||
|
||
## Definition
|
||
AWS Secrets Manager 是 AWS 提供的完全托管式密钥管理服务,用于安全存储和检索应用程序、服务和 IT 资源的密钥。
|
||
|
||
## Core Features
|
||
- **内置数据库集成**:开箱即用支持 AWS RDS、Redshift、DynamoDB 等服务的密钥管理
|
||
- **高可用与 DR**:托管服务自动实现跨可用区高可用和灾难恢复
|
||
- **按用量计费**:基于 API 调用次数计费,无需预付成本
|
||
- **自动密钥轮换**:通过 Lambda 函数实现数据库凭证自动轮换
|
||
- **IAM 访问控制**:通过 IAM 角色和标签实现精细化权限管理
|
||
- **账户级管理**:AWS 在账户级别管理密钥,可降低成本并提升安全性
|
||
|
||
## Evaluation vs HashiCorp Vault
|
||
| 维度 | AWS Secrets Manager | HashiCorp Vault |
|
||
|------|---------------------|-----------------|
|
||
| 部署模式 | 完全托管 | 自托管 |
|
||
| 云厂商 | AWS 原生 | 云厂商无关 |
|
||
| 成本模型 | 按用量计费 | 按用户数收费 |
|
||
| 高可用 | 内置 | 企业版才支持 |
|
||
| 动态密钥 | 支持 | 支持 |
|
||
| 证书签名 | 不支持原生 | 支持嵌入式签名 |
|
||
| 实施复杂度 | 简单易用 | 需要专业知识 |
|
||
|
||
## Implementation Phases
|
||
1. **试点阶段(30天)**:验证开箱即用功能,识别缺失功能(SSH 密钥轮换、用户密码轮换)
|
||
2. **实施阶段**:从 Control Tower 开始,从 CI/CD 流程中清除明文密码和密钥,集中化管理
|
||
|
||
## Sources
|
||
- [[ctp-topic-37-secrets-certificates-management]](选型评估)
|
||
- [[ctp-topic-62-aws-secrets-manager]](企业级深度实践)
|