AWS Secrets Manager 可帮助您保护访问您的应用程序、服务和 IT 资源所需的私密信息。借助该服务,您可以在整个生命周期内,轻松轮换、管理和检索数据库凭证、API 密钥和其他私密信息。用户和应用程序通过调用 Secrets Manager API 来检索私密信息,从而无需对明文形式的敏感信息进行硬编码。Secrets Manager 为 MySQL、PostgreSQL 和 Amazon Aurora 使用的 Amazon RDS 提供内置集成的私密信息轮换。同时,该服务可扩展到私密信息的其他类型,包括 API 密钥和 OAuth 令牌。此外,Secrets Manager 使您可以利用细粒度的权限控制对私密信息的访问,并集中审计 AWS Cloud、第三方服务和本地资源的私密信息轮换。
优势
安全轮换私密信息
AWS Secrets Manager 使您可以安全轮换私密信息,而无需编码部署,从而帮助您满足安全与合规性要求。例如:Secrets Manager 为 MySQL、PostgreSQL 和 Amazon Aurora 使用的 Amazon RDS 提供内置集成功能,并能以您的身份自动轮换这些数据库凭证。您可以自定义 Lambda 函数,将 Secrets Manager 扩展到其他私密信息类型,如用于移动应用程序验证用户身份的 API 密钥和 OAuth 令牌。从 Secrets Manager 中检索私密信息,可以确保开发人员和应用程序使用私密信息的最新版本。
采用细粒度策略管理访问权限
借助 Secrets Manager,您可以使用细粒度 AWS Identity and Access Management (IAM) 策略管理私密信息的访问权限。例如:您可以创建一个策略以使开发人员仅检索开发环境中使用的特定私密信息。同样的策略可以使开发人员仅在请求来自企业 IT 网络内时才可以检索生产环境中使用的密码。对于数据库管理员,可以创建一个策略以使数据库管理员能够管理所有数据库凭证和权限,以便读取对托管数据库的特定实例执行操作系统级别更改时所需的 SSH 密钥。
集中保护和审计私密信息
借助 Secrets Manager,您可以使用由 AWS Key Management Service (KMS) 管理的加密密钥加密私密信息,从而帮助您保护私密信息。它还集成了 AWS 的登录与监控服务,以便进行集中审计。例如,您可以审计 AWS CloudTrail 日志查看 Secrets Manager 何时轮换私密信息,或者配置 AWS CloudWatch Events 以便在管理员删除私密信息时通知您。
按需付费
Secrets Manager 提供按需付费的定价模式。您可按照在 Secrets Manager 中管理的私密信息的数量和 Secrets Manager API 调用的次数进行付费。借助 Secrets Manager,您可以启用一个高度可用的私密信息管理服务,而无需进行前期投资,也不存在运行基础设施的持续维护成本。
博客文章
了解有关 AWS Secrets Manager 的更多信息