一般性问题
全部打开Amazon Secrets Manager 是一种密钥管理服务,有助于保护对应用程序、服务和 IT 资源的访问。通过此服务,您可以轻松地跨整个生命周期轮换、管理和检索数据库凭证、API 密钥及其他密钥。使用 Secrets Manager,您可以保护和管理用于访问亚马逊云科技云、第三方服务和本地资源的密钥。
Amazon Secrets Manager 可保护您对应用程序、服务和 IT 资源的访问,无需运营您自己的基础设施,可避免前期投资和持续维护成本。
Secrets Manager 适用于寻求以安全且可扩展的方法存储和管理密钥的 IT 管理员。负责满足法规和合规性要求的安全管理员可以使用 Secrets Manager 监控和轮换密钥,而不会影响应用程序。希望在其应用程序中替换硬编码密钥的开发人员可以通过编程方式从 Secrets Manager 检索密钥。
您可以使用 Amazon Secrets Manager 集中存储、检索、控制对密钥的访问、轮换、审核和监控。
您可以加密静态密钥,以降低未经授权的用户查看敏感信息的可能性。要检索密钥,您只需将应用程序中的纯文本密钥替换为代码,即可使用 Secrets Manager API 以编程方式拉取这些密钥。您可以使用 Amazon Identity and Access Management(IAM)策略,以控制哪些用户和应用程序可以访问这些密钥。您可以按计划或按需为亚马逊云科技上托管的受支持数据库类型轮换密码,而不会影响应用程序。您可以通过修改 Lambda 示例函数扩展此功能,以便轮换其他密钥,例如 Amazon EC2 上托管的 Oracle 数据库的密码或 OAuth 刷新令牌。您还可以审核和监控密钥,因为 Secrets Manager 可与 Amazon CloudTrail、Amazon CloudWatch 和 Amazon Simple Notification Service(Amazon SNS)集成。
您可以管理各种密钥,如数据库凭证、本地资源凭证、SaaS 应用程序凭证、第三方 API 密钥和 Secure Shell(SSH)密钥等。Secrets Manager 允许您存储 JSON 文档,后者允许您管理任何 10KB 或更小的文本推介。
您可以在本地轮换 Amazon Relational Database Service(RDS)、Amazon DocumentDB 和 Amazon Redshift 的凭证。您可以通过修改 Secrets Manager 文档中提供的 Amazon Lambda 函数示例,扩展 Secrets Manager 以轮换其他密钥,例如 EC2 上托管的 Oracle 数据库的凭证或 OAuth 刷新令牌。
首先,您必须编写允许应用程序访问特定密钥的 Amazon Identity and Access Management(IAM)策略。然后,在应用程序源代码中,可以用代码替换纯文本密钥,以便使用 Secrets Manager API 以编程方式检索这些密钥。有关完整的详细信息和示例,请参阅 Amazon Secrets Manager 用户指南。
若要开始使用 Amazon Secrets Manager,请执行以下操作:
识别您的密钥并找到其在应用程序中的使用位置。
使用亚马逊凭证登录亚马逊云科技管理控制台,并导航至 Secrets Manager 控制台。
使用 Secrets Manager 控制台上传已识别的密钥。或者,您可以使用 Amazon SDK 或 Amazon CLI 上传密钥(每个密钥上传一次)。您还可以编写脚本,以上传多个密钥。
如果您的密钥尚未使用,请按照控制台中的说明配置自动轮换。如果应用程序正在使用您的密钥,请在配置自动轮换之前完成步骤(5)和(6)。
如果其他用户或应用程序需要检索密钥,请编写 IAM 策略以授予该密钥的权限。
更新您的应用程序,以从 Secrets Manager 检索密钥。
请访问亚马逊云科技区域表,了解目前提供亚马逊云科技服务的区域。
轮换
全部打开Amazon Secrets Manager 使您能够按计划配置数据库凭证轮换。这使您能够遵循安全最佳实践并安全地轮换数据库凭证。当 Secrets Manager 启动轮换时,其使用您提供的超级数据库凭证创建具有相同权限但不同密码的克隆用户。然后,Secrets Manager 将克隆用户信息传递给检索数据库凭证的数据库和应用程序。如需了解有关轮换的更多信息,请参阅 Amazon Secrets Manager 轮换指南。
不会。在建立连接时会进行身份验证。当 Amazon Secrets Manager 轮换数据库凭证时,当前数据库连接不会重新验证。
您可以配置 Amazon CloudWatch Events,以便在 Amazon Secrets Manager 轮换密钥时接收通知。您还可以查看 Secrets Manager 上次使用 Secrets Manager 控制台或 API 轮换密钥的时间。
安全性
全部打开Amazon Secrets Manager 使用您拥有且存储在 Amazon Key Management Service(KMS)中的加密密钥进行静态加密。您可以使用 Amazon Identity and Access Management(IAM)策略控制对密钥的访问。当您检索密钥时,Secrets Manager 会解密密钥,并通过 TLS 将其安全地传输到您的本地环境。默认情况下,Secrets Manager 不会将密钥写入或缓存到持久存储。
您可以使用 Amazon Identity and Access Management(IAM)策略,以控制用户和应用程序检索或管理特定密钥的访问权限。例如,您可以创建策略,仅允许开发人员检索用于开发环境的密钥。如需了解更多信息,请访问 Amazon Secrets Manager 的身份验证和访问控制。
Amazon Secrets Manager 使用信封加密(AES-256 加密算法),以加密 Amazon Key Management Service(KMS)中的密钥。
首次使用 Secrets Manager 时,可以指定客户主密钥(CMK)以加密密钥。如果您不提供 CMK,Secrets Manager 会自动为您的账户创建 Amazon KMS 默认密钥。存储密钥时,Secrets Manager 会从 KMS 请求纯文本密钥和加密的数据密钥。Secrets Manager 使用纯文本数据密钥加密内存中的密钥。Amazon Secrets Manager 可存储和维护加密的密钥以及加密的数据密钥。检索密钥时,Secrets Manager 将解密数据密钥(使用 Amazon KMS 默认密钥),并使用纯文本数据密钥解密密钥。数据密钥已加密且已存储,并且不会以纯文本形式写入磁盘。此外,Secrets Manager 不会将纯文本密钥写入或缓存到持久存储。
计费
全部打开使用 Secrets Manager,您只需按实际用量付费,并且没有最低费用。开始使用服务时,没有安装费,也无需签订长期使用合约。月底时,系统会自动从您的信用卡中扣除该月的使用费。您需要为您存储的密钥数量以及每月向服务提出的 API 请求付费。
有关当前定价信息,请访问 Amazon Secrets Manager 定价。
有,您可以通过 Amazon Secrets Manager 30 天免费试用免费试用 Secrets Manager。通过免费试用,您可在 30 天内轮换、管理和检索密钥。当您存储第一个密钥时,即表示免费试用开始。