开始使用 Amazon Secrets Manager
您的企业可能有许多不同类型的密钥。以下是其中一些密钥,以及您可能会在 Amazon 中存储它们的位置:
-
Amazon 凭证 – Amazon Identity and Access Management
-
SSH 密钥 – Amazon EC2 Instance Connect
-
私钥和证书 – Amazon Certificate Manager
-
数据库凭证 – Secrets Manager
-
应用程序凭证 – Secrets Manager
-
OAuth 令牌 – Secrets Manager
-
应用程序编程接口 (API) 密钥 – Secrets Manager
Secrets Manager 的概念
以下概念对了解 Secrets Manager 的工作原理来说很重要。
密钥
在 Secrets Manager 中,密钥由密钥信息、密钥值和密钥元数据组成。密钥值可以是字符串或二进制值。为了将多个字符串值存储在一个密钥中,我们建议您使用带有键/值对的 JSON 文本字符串,例如:
{ "host" : "ProdServer-01.databases.example.com", "port" : "8888", "username" : "administrator", "password" : "EXAMPLE-PASSWORD", "dbname" : "MyDatabase", "engine" : "mysql" }
密钥元数据包括:
-
具有以下格式的 Amazon Resource Name (ARN)。
arn:aws:secretsmanager:<Region>:<AccountId>:secret:SecretName-6RandomCharacters -
密钥的名称、说明、资源策略和标签。
-
加密密钥的 ARN,一个 Secrets Manager 用来加密和解密密钥值的 Amazon KMS key。Secrets Manager 始终以加密形式存储密钥文本,并在传输过程中加密密钥。请参阅Amazon Secrets Manager 中的密钥加密和解密。
-
如果设置了轮转,有关如何轮转密钥的信息。请参阅轮换。
Secrets Manager 使用 IAM 权限策略来确保只有授权用户可以访问或修改密钥。请参阅Amazon Secrets Manager 的身份验证和访问控制。
密钥有包含加密密钥值副本的版本。更改密钥值或轮换密钥时,Secrets Manager 会创建一个新版本。请参阅版本。
您可以通过复制在多个 Amazon Web Services 区域 上使用一个密钥。复制密钥时,您可以创建原始或主密钥称为副本密钥。副本密钥保持链接到主密钥上。请参阅将 Amazon Secrets Manager 密钥复制到其他 Amazon Web Services 区域。
请参阅 用 Amazon Secrets Manager 创建和管理密钥。
轮换
轮换是指您定期升级密钥以使攻击者更难访问凭据的过程。在 Secrets Manager 中,您可以为密钥设置自动轮换。当 Secrets Manager 轮换密钥时,会同时更新密钥和数据库或服务中的凭据。请参阅轮换 Amazon Secrets Manager 密钥。
提示
对于某些 由其他服务管理的密钥,可使用托管轮换。要使用 托管轮换,请首先通过管理服务来创建密钥。
轮换策略
轮换策略:单用户
此策略在一个密钥中更新一个用户的凭证。用户必须具有更新密码的权限。这是最简单的轮换策略,适用于大多数用例。
轮换密钥时,不会删除打开的数据库连接。在进行轮换时,在数据库中的密码更改后一小段时间,相应的密码才会更新。在此期间,数据库有较低的风险拒绝使用轮换凭证的调用。您可以使用适当的重试策略
轮换策略:交替用户
此策略在一个密钥中更新两个用户的凭证。您创建第一个用户,然后在第一次轮换期间,轮换函数将进行克隆以创建第二个用户。每次轮换密钥时,轮换函数都会交替更新其更新的用户密码。由于大多数用户无权克隆自己,因此您必须在另一个密钥中为 superuser 提供凭证。如果数据库中的克隆用户(通常称为临时用户或交互式用户)与原始用户具有的权限不同,我们建议使用单用户轮换策略。
此策略适用于具有权限模型的数据库,其中一个角色拥有数据库表,而另一个角色具有访问数据库表的权限。其也适用于需要高可用性的应用程序。如果应用程序在轮换期间检索密钥,则该应用程序仍会获得一组有效的凭证。轮换后,user 和 user_clone 凭证均有效。在这种类型的轮换期间,应用程序获得拒绝的可能性甚至比单用户轮换获得拒绝的可能性更小。如果数据库托管在服务器场中,密码更改需要时间传播到所有服务器,则存在数据库拒绝使用新凭证的调用的风险。您可以使用适当的重试策略
版本
密钥有包含加密密钥值副本的版本。更改密钥值或轮换密钥时,Secrets Manager 会创建一个新版本。
Secrets Manager 不会存储带有版本的密钥历史记录。相反,它利用 AWSPREVIOUS 来标记该密钥版本,从而跟踪以前的密钥值。在轮换期间,Secrets Manager 还会使用 AWSPENDING 标记该密钥版本,从而跟踪下一个密钥值。密钥总是有 AWSCURRENT 版本。除非您指定了其他版本,否则 Secrets Manager 会在您检索密钥值时返回 AWSCURRENT 版本。
您可以在 Amazon CLI 中使用 UpdateSecretVersionStage 或通过 Amazon SDK,添加具有您自己的标注的其他版本。您最多可以将 20 个暂存标注附加到密钥。密钥的两个版本不能具有相同的暂存标注。如果某个版本没有标注,Secrets Manager 会将其视为已弃用。如果密钥版本超过 100 个,Secrets Manager 会删除已弃用的密钥版本。Secrets Manager 不会移除 24 小时前创建的版本。