37 lines
1.5 KiB
Markdown
37 lines
1.5 KiB
Markdown
---
|
||
title: "Secrets Management"
|
||
type: concept
|
||
tags: [security, devops, best-practices]
|
||
sources: [ctp-topic-37-secrets-certificates-management, ctp-topic-62-aws-secrets-manager]
|
||
last_updated: 2026-04-19
|
||
---
|
||
|
||
## Summary
|
||
密钥管理是企业管理数字认证凭证(密码、API Token、加密密钥、证书)的系统性方法,确保应用服务、特权账户和 IT 生态系统中敏感信息的安全存储、访问控制和自动轮换。
|
||
|
||
## Definition
|
||
管理数字认证凭证、密钥、密码、API 和 Token 等敏感信息的工具和方法,涵盖存储、访问控制、轮换、审计全生命周期。
|
||
|
||
## Core Components
|
||
- **密钥存储**:集中化安全存储敏感信息
|
||
- **访问控制**:基于身份的细粒度权限管理
|
||
- **自动轮换**:定时自动更新密钥降低泄露风险
|
||
- **审计日志**:记录所有访问和操作行为
|
||
|
||
## Implementation Patterns
|
||
- **托管服务**:AWS Secrets Manager、Azure Key Vault、GCP Secret Manager
|
||
- **自托管方案**:HashiCorp Vault(支持动态密钥、证书签名)
|
||
- **特权访问管理**:CyberArk PAM、Micro Focus PAM
|
||
|
||
## Best Practices
|
||
- 避免明文存储密钥
|
||
- 实施最小权限原则
|
||
- 启用自动轮换
|
||
- 集中化密钥管理
|
||
- 集成 CI/CD 流程
|
||
|
||
## Connections
|
||
- [[Secrets Management]] ← 应用于 ← [[CI/CD]]
|
||
- [[AWS Secrets Manager]] ← 实现 ← [[Secrets Management]]
|
||
- [[HashiCorp Vault]] ← 实现 ← [[Secrets Management]]
|
||
- [[Zero-Trust-Architecture]] ← 要求 ← [[Secrets Management]] |