概述
Amazon Secrets Manager 可帮助您保护访问应用程序、服务和 IT 资源所需的密钥。借助该服务,您可以在整个生命周期中,轻松轮换、管理和检索数据库凭证、API 密钥和其他密钥。用户和应用程序通过调用 Secrets Manager API 来检索密钥,无需对纯文本的敏感信息进行硬编码。Secrets Manager 通过适用于 Amazon RDS 和 Amazon Redshift 的内置集成功能实现密钥轮换。该服务还可以扩展到其他密钥类型,包括 API 密钥和 OAuth 令牌。此外,借助 Secrets Manager,您可以使用精细权限以控制密钥访问权限,并集中审核对亚马逊云、第三方服务和本地资源的密钥轮换。
优势
安全地轮换密钥
Amazon Secrets Manager 使您无需部署代码,即可安全地轮换密钥,从而帮助您满足安全性与合规性要求。例如,Secrets Manager 可提供适用于 Amazon RDS 和 Amazon Redshift 的内置集成功能,并会代替您自动轮换这些数据库凭证。您可以自定义 Lambda 函数,将 Secrets Manager 轮换服务扩展到其他类型的密钥,如 API 密钥和 OAuth 令牌。通过 Secrets Manager 检索密钥可确保开发人员和应用程序使用的是您密钥的最新版本。
采用精细策略管理访问权限
借助 Secrets Manager,您可以使用精细的 Amazon Identity and Access Management(IAM)策略和基于资源的策略管理密钥访问权限。例如,您可以创建一个策略,使开发人员仅能检索用于开发环境的特定密钥。同样的策略可以使开发人员仅在请求来自企业 IT 网络时才检索生产环境中所用的密码。对于数据库管理员,您可以创建一个策略,使数据库管理员能够管理所有数据库凭证和权限,以便读取对托管数据库的特定实例执行操作系统级别更改时所需的 SSH 密钥。
集中保护和审核密钥
借助 Secrets Manager,您可以使用由 Amazon Key Management Service(KMS)管理的加密密钥对您的密钥进行加密,从而保护密钥的安全。其还集成亚马逊云科技的日志记录和监控服务,以便进行集中审核。例如,您可以审核 Amazon CloudTrail 日志,以查看 Secrets Manager 何时轮换密钥,或者配置 Amazon CloudWatch Events,以便在管理员删除密钥时接收通知。
按实际使用量付费
Secrets Manager 提供按需付费定价模式。您可以按照 Secrets Manager 中管理的密钥的数量和 Secrets Manager API 调用的次数进行付费。借助 Secrets Manager,您可以启用高度可用的密钥管理服务,而无需进行前期投资,也不存在运营基础设施的持续维护成本。