AWS Secrets Manager 最佳实践 - AWS Secrets Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Secrets Manager 最佳实践

以下建议可以帮助您更安全地使用 AWS Secrets Manager:

保护其他敏感信息

除了用户名和密码以外,密钥通常还包含一些其他信息。根据数据库、服务或网站,您可以选择包括额外的敏感数据。该数据可能包括密码提示,或者可用于恢复密码的问题答案组合。

确保安全地保护可用于访问密钥中的凭证的任何信息,就像凭证本身一样安全。不要在 Description 或密钥的任何其他未加密部分中存储此类信息,

而应将所有此类敏感信息存储为加密的密钥值的一部分(在 SecretStringSecretBinary 字段中)。您可以在密钥中存储最多 65536 个字节。在 SecretString 字段中,文本通常采用 JSON 键值字符串对格式,如以下示例所示:

{ "engine": "mysql", "username": "user1", "password": "i29wwX!%9wFV", "host": "my-database-endpoint.us-east-1.rds.amazonaws.com", "dbname": "myDatabase", "port": "3306" }