title, type, tags
| title |
type |
tags |
| SecretsManagement |
concept |
| AWS |
| Security |
| Cloud |
| DevOps |
|
Definition
Secrets Management(敏感信息管理)是指在云环境中集中存储、管理、安全轮换敏感凭据(密码、API Key、证书、加密密钥等)的实践,旨在消除硬编码明文密码和密钥的安全风险。
Core Principles
- 集中化存储:所有 Secrets 存储在集中式保险库(Vault)中,而非代码、配置文件或环境变量
- 最小权限访问:通过 IAM 角色和策略控制谁可以访问哪些 Secrets
- 自动轮换:定期自动更换 Secrets,减少长期密钥泄露风险
- 审计追踪:记录所有 Secrets 访问和变更操作
- 加密传输:Secrets 在传输和存储时均加密保护
AWS Secrets Manager Implementation
Three-Phase Approach
- 集中 Secrets:将所有密码、密钥集中到 AWS Secrets Manager
- 调整自动化:修改 CI/CD 和应用程序,从 Secrets Manager 动态获取凭据
- 启动轮换:启用自动轮换机制,定期更换凭据
Key Benefits
- 开发者无需直接访问 Secrets,通过角色和 AWS 凭证授权
- 无需客户端软件(对比 HashiCorp Vault)
- 与 AWS Control Tower 集成实现企业级标准化
- 成本比自托管 Vault 方案更低
AWS Alternatives
| Feature |
AWS Secrets Manager |
HashiCorp Vault |
| 客户端依赖 |
无 |
需要 |
| 托管服务 |
完全托管 |
自托管/托管 |
| 成本 |
按 API 调用计费 |
基础设施+运维成本 |
| Lambda 集成 |
原生支持 |
需要额外配置 |
Related Concepts
Sources
Aliases
- Secret Management
- Credentials Management
- API Key Management
