ishenwei/nexus
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
b40abbcd473a7093d8261e212e3d6de97c1e516a
nexus/wiki/sources/ctp-topic-62-aws-secrets-manager.md

58 lines
3.1 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
---
title: "CTP Topic 62 AWS Secrets Manager"
type: source
tags:
- AWS
- Secrets-Manager
- Security
- CTP
- Cloud-Transformation
date: 2026-04-14
---
## Source File
- [[Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-62-aws-secrets-manager.md]]
## Summary用中文描述
- 核心主题AWS Secrets Manager 在企业云转型项目中的实施与标准化
- 问题域:如何在多账户、多团队的企业环境中集中管理 Secrets实现安全的密码轮换
- 方法/机制:采用渐进式方法:集中 Secrets → 调整自动化工具 → 启动自动轮换;通过 Lambda 函数配合 JDBC Wrapper 实现无密码数据库访问
- 结论/价值AWS Secrets Manager 相较 HashiCorp Vault 成本更低、实现更简单,无需客户端;与 Control Tower 集成可实现企业级 Secrets 管理标准化
## Key Claims用中文描述
- AWS Secrets Manager 被选为 Secrets 管理平台,相比 HashiCorp Vault 更具成本效益
- 三阶段实施方法:集中 Secrets → 调整自动化获取流程 → 启动轮换机制
- 开发者无需直接访问 Secrets通过角色和 AWS 凭证授权
- Lambda 函数可连接 Oracle 数据库执行密码轮换,无需通过邮件发送密码
- SendGrid API Key 轮换可通过集中式 SMTP 服务实现,无需应用重启
## Key Quotes
> "AWS Secrets Manager is easy and simple to implement." — Nurit & Daniel, 实施经验总结
> "With that idea, developers actually do not need to have direct access to their Secrets." — Secrets Management 标准化文档核心理念
> "AWS Secrets Manager does not require clients, unlike HashiCorp Vault." — 技术对比结论
## Key Concepts
- [[SecretsManagement]]在云环境中集中存储、管理、安全轮换敏感凭据密码、API Key、证书的实践
- [[SecretRotation]]:定期自动更换 Secrets 的机制,防止长期密钥泄露风险
- [[JDBCWrapper]]:通过 JDBC 包装器配合 AWS SDK 从 Secrets Manager 动态获取数据库凭据,无需硬编码密码
- [[ControlTower]]AWS Control Tower 提供多账户治理和合规性管理
## Key Entities
- [[Nurit]]演讲者AWS Secrets Manager 实施经验分享
- [[Daniel]]演讲者AWS Secrets Management Standard 文档负责人
- [[Victor]]:现场演示无需密码的 Oracle 数据库登录
- [[HashiCorpVault]]AWS Secrets Manager 的替代方案POC 阶段被否决
- [[AWSControlTower]]:多账户 AWS 环境治理平台
- [[SendGrid]]邮件服务提供商API Key 轮换是实施机会之一
## Connections
- [[CTP-Topic-37-Secrets-Certificates-Management]] ← related_to ← [[CTP-Topic-62-AWS-Secrets-Manager]]
- [[AWS-Control-Tower]] ← centralizes ← [[Secrets-Management]]
- [[CTP-Topic-36-SendGrid-as-an-Email-Service]] ← relates_to ← [[SendGrid-API-Rotation]]
## Contradictions
- 与 [[HashiCorp-Vault]] 对比:
- 冲突点:两种 Secrets 管理方案的选型
- 当前观点AWS Secrets Manager 被选中,因其成本更低、实现更简单
- 对方观点HashiCorp Vault 在 POC 阶段被评估,但因成本原因未被采用
Reference in New Issue View Git Blame Copy Permalink