nexus/wiki/sources/ctp-topic-62-aws-secrets-manager.md

---
title: "CTP Topic 62 AWS Secrets Manager"
type: source
tags:
  - AWS
  - Secrets-Manager
  - Security
  - CTP
  - Cloud-Learning
date: 2026-04-14
---

## Source File
- [[raw/Cloud & DevOps/Public-Cloud-Learning-Sessions/07_Security/ctp-topic-62-aws-secrets-manager.md]]

## Summary
- 核心主题：AWS Secrets Manager 在企业云环境中的实施与最佳实践
- 问题域：敏感信息（密码、API密钥）管理、安全集中化、密钥轮换
- 方法/机制：AWS Secrets Manager 集中化管理、分阶段实施（集中→自动化获取→轮换）、Lambda 函数实现数据库密码轮换、JDBC Wrapper 无密码登录
- 结论/价值：AWS Secrets Manager 是 HashiCorp Vault 的成本效益替代方案，通过分阶段方法实现开发人员无需直接访问敏感信息

## Key Claims
- AWS Secrets Manager 易于实施且成本效益优于 HashiCorp Vault
- 分阶段实施方法：集中化敏感信息→调整自动化获取→启动密钥轮换
- 开发人员实际上不需要直接访问敏感信息
- Control Tower 堆栈重新设计确保所有堆栈使用相同的密钥
- AWS Secrets Manager 不需要客户端（与 HashiCorp Vault 对比）

## Key Quotes
> "AWS Secrets Manager is easy and simple to implement." — 演讲者
> "With that idea, developers actually do not need to have direct access to their Secrets." — 标准文档核心理念

## Key Concepts
- [[AWS Secrets Manager]]：AWS 云原生敏感信息管理服务
- [[Secret Rotation]]：密钥轮换，自动更新存储的敏感信息
- [[JDBC Wrapper]]：使用 AWS SDK 从 Secrets Manager 检索密钥的 JDBC 包装器
- [[Control Tower]]：AWS Control Tower 用于设置安全的多账号 AWS 环境
- [[HashiCorp Vault]]：企业级敏感信息管理工具（对比方案）
- [[Lambda Rotation]]：使用 Lambda 函数执行数据库密码轮换

## Key Entities
- [[Nurit]]：演讲者之一
- [[Daniel]]：演讲者之一，分享实施机会
- [[Victor]]：演示无密码 Oracle 数据库登录
- [[SendGrid]]：集中邮件服务的密钥轮换目标
- [[Oracle Database]]：通过 Lambda 实现密码轮换的数据库

## Connections
- [[AWS Secrets Manager]] ← cost_effective_alternative ← [[HashiCorp Vault]]
- [[CTP]] ← uses ← [[AWS Secrets Manager]]
- [[Control Tower]] ← secured_by ← [[AWS Secrets Manager]]
- [[Oracle Database]] ← rotates_password_via ← [[Lambda Rotation]]

## Contradictions
- 与 HashiCorp Vault 对比：
  - 冲突点：选择哪个敏感信息管理平台
  - 当前观点：AWS Secrets Manager 成本效益更优，无需客户端
  - 对方观点：HashiCorp Vault 功能更全面，适合复杂企业需求