安全秘密存储
Amazon Secrets Manager 使用您拥有并存储在 Amazon Key Management Service (KMS) 中的加密密钥对秘密进行静态加密。当您检索秘密时,Secrets Manager 会解密秘密,并通过 TLS 将其安全地传输到您的本地环境。默认情况下,Secrets Manager 不会将秘密写入或缓存到持久存储。此外,您还可以使用精细的 Amazon Identity and Access Management (IAM) 策略以及基于资源的策略来控制对秘密的访问。您还可以单独标记秘密并应用基于标记的访问控制。例如,您可以将生产环境中使用的秘密标记为“Prod”,然后编写 IAM 策略,以便仅当请求来自企业 IT 网络中时授予对这些秘密的访问权限。
自动轮换秘密,不中断应用程序
借助 Amazon Secrets Manager,您可以使用 Secrets Manager 控制台、Amazon 开发工具包或 Amazon CLI 按计划或按需轮换秘密。例如,要轮换数据库密码,请在 Secrets Manager 中存储密码时提供数据库类型、轮换频率和主数据库凭据。Secrets Manager 本身支持托管在 Amazon RDS 上的数据库凭据和 Amazon Redshift 上托管的集群凭据的轮换。您可以通过修改示例 Lambda 函数来扩展 Secrets Manager 以轮换其他秘密。例如,您可以轮换用于授权用于本地托管 MySQL 数据库的应用程序或密码的 OAuth 刷新令牌。用户和应用程序通过调用 Secrets Manager API 来替换硬编码的秘密,从而检索秘密,这使您能够自动执行秘密轮换,同时确保应用程序运行不会中断。
程序化检索秘密
您可以使用 Amazon Secrets Manager 控制台、Amazon 开发工具包、Amazon CLI 或 Amazon CloudFormation 来存储和检索秘密。要检索秘密,您只需将应用程序中的明文秘密替换为代码,以便使用 Secrets Manager API 以程序化方式拉取这些秘密。Secrets Manager 提供用于调用 Secrets Manager API 的代码示例,您也可在 Secrets Manager 资源页面上查看。您可以配置 Amazon Virtual Private Cloud (VPC) 终端节点,以便在 亚马逊云科技网络中保持 VPC 和 Secrets Manager 之间的流量。您还可以使用 Secrets Manager 客户端缓存库来提高可用性并降低使用秘密的延迟。
审计和监控秘密使用情况
Amazon Secrets Manager 使您能够通过与 亚马逊云科技日志记录、监控和通知服务集成来审计和监控秘密。例如,在为 亚马逊云科技区域启用 Amazon CloudTrail 之后,您可以通过查看 Amazon CloudTrail 日志来审计秘密存储或轮换的时间。同样,您可以将 Amazon CloudWatch 配置为在秘密一段时间未使用时以亚马逊简单通知服务接收电子邮件消息,或将 Amazon CloudWatch Events 配置为在 Secrets Manager 轮换您的秘密时接收推送通知。
