本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
什么是 Amazon Secrets Manager?
Amazon Secrets Manager 帮助您在数据库凭证、应用程序凭证、OAuth 令牌、API 密钥和其他密钥的整个生命周期中对其进行管理、检索和轮换。许多 Amazon 服务在 Secrets Manager 中存储和使用密钥。
Secrets Manager 无需应用程序源代码中的硬编码凭证,因此可帮助您改进安全状况。将凭证存储在 Secrets Manager 中有助于避免检查您应用程序或组件的任何人泄露这些凭证。您可以将硬编码凭证替换为对 Secrets Manager 服务的运行时系统调用,以便在需要时动态检索凭证。
使用 Secrets Manager,您可以为密钥配置自动轮换计划。这样,您就可以将长期密钥替换为短期密钥,从而显著降低泄露风险。由于凭证不再与应用程序存储在一起,所以轮换凭证不再需要更新应用程序并将更改部署到应用程序客户端。
对于您的组织可能拥有的其他类型的密钥:
-
Amazon 凭证 — 我们推荐Amazon Identity and Access Management。
-
加密密钥 – 建议使用 Amazon Key Management Service。
-
SSH 密钥 – 建议使用 Amazon EC2 Instance Connect。
-
私有密钥和证书 – 建议使用 Amazon Certificate Manager。
Secrets Manager 入门
如果不熟悉 Secrets Manager,请从 Amazon Secrets Manager 概念 或以下教程之一开始:
可使用密钥执行的其他任务:
符合标准
Amazon Secrets Manager 已经过多项标准的审计,当您需要获得合规性认证时,可以成为您的解决方案的一部分。有关更多信息,请参阅Amazon Secrets Manager 的合规性验证。
定价
使用 Secrets Manager 时,仅按实际使用量收费,无最低费用或设置费用。标记为已删除的密钥不收取任何费用。有关当前完整定价列表,请参阅 Amazon Secrets Manager
定价
你可以使用 Secrets Manager 创建的来免费加密你的秘密。 Amazon 托管式密钥 aws/secretsmanager
如果您创建自己的 KMS 密钥来加密您的机密,则按当前费 Amazon KMS
率向您 Amazon 收费。有关更多信息,请参阅Amazon Key Management Service
定价
当您开启自动轮换(托管轮换除外)时,Secrets Manager 会使用 Amazon Lambda 函数来轮换密钥,并按当前 Lambda 费率向您收取轮换功能的费用。有关更多信息,请参阅Amazon Lambda 定价
如果您 Amazon CloudTrail 在自己的账户上启用,则可以获取 Secrets Manager 发送的 API 调用的日志。Secrets Manager 将所有事件记录为管理事件。 Amazon CloudTrail 免费存储所有管理事件的第一份副本。但是,如果启用通知,可能会对 Amazon S3 的日志存储和 Amazon SNS 产生费用。此外,如果您设置了其他跟踪,管理事件的其他副本可能会产生费用。有关更多信息,请参阅Amazon CloudTrail 定价
Amazon 使用 Amazon Secrets Manager 机密的服务
Amazon App Runner – 参阅 Amazon App Runner 开发人员指南中的引用环境变量和管理环境变量。
Amazon App2Container — 请参阅 App2Container 使用指南中的管理 Amazon App2Container 的密钥。Amazon
Amazon AppConfig – 参阅 Amazon AppConfig 用户指南中的创建自由格式配置文件。
亚马逊 AppFlow — 请参阅由其他 Amazon 服务托管的 Amazon Secrets Manager 密钥。
Amazon AppSync – 参阅 Amazon AppSync 开发人员指南中的教程:Aurora Serverless。
Amazon Athena – 参阅 Amazon Athena 用户指南中的使用 Amazon Athena 联合查询。
亚马逊 Aurora — 参见由其他 Amazon 服务托管的 Amazon Secrets Manager 密钥。
Amazon CodeBuild— 参见《Amazon CodeBuild 用户指南》 CodeBuild中的私有注册表及其 Amazon Secrets Manager 示例。
Amazon DataSync请参阅 由其他 Amazon 服务托管的 Amazon Secrets Manager 密钥。
亚马逊 DataZone — 请参阅亚马逊 DataZone 用户指南中的使用新 Amazon Glue 连接为 Amazon Redshift 数据库创建数据源。
Amazon Direct Connect请参阅 由其他 Amazon 服务托管的 Amazon Secrets Manager 密钥。
Amazon Directory Service— 参见Amazon Direct Connect 用户指南中的无缝将 Linux EC2 实例加入你的 Amazon 托管微软 AD 目录、将 Linux EC2 实例无缝加入你的 AD Connector 目录以及将 Linux EC2 实例无缝加入你的 Simple AD 目录。
Amazon DocumentDB(与 MongoDB 兼容) – 参阅 Amazon DocumentDB 开发人员指南中的 创建 Amazon Secrets Manager 数据库密钥 和管理 Amazon DocumentDB 用户。
Amazon Elastic Beanstalk – 参阅 Amazon Elastic Beanstalk 开发人员指南中的 Docker 配置。
Amazon Elastic Container Registry – 请参阅《Amazon ECR 用户指南》中的创建直通缓存规则。
Amazon Elastic Container Service – 参阅 Amazon Elastic Container Service 开发人员指南中的教程:使用 Secrets Manager 密钥指定敏感数据、通过应用程序以编程方式检索密钥、通过环境变量检索密钥、检索密钥以进行日志记录配置、教程:将 FSx for Windows File Server 文件系统和 Amazon ECS 搭配使用、FSx for Windows File Server 卷,以及对任务进行私有注册表身份验证。
Amazon 弹性容器服务 Connect — 请参阅由其他 Amazon 服务托管的 Amazon Secrets Manager 密钥。
亚马逊 ElastiCache — 参见《亚马逊用户指南》中的自动轮换 ElastiCache 用户密码。
AWS Elemental Live— 请参阅 Elemental Live 用户指南中从 AWS Elemental Live 到的交付在运行时 MediaConnect 的工作原理。
AWS Elemental MediaConnect – 参见《AWS Elemental MediaConnect 用户指南》中的 AWS Elemental MediaConnect中的静态密钥加密。
AWS Elemental MediaConvert— 请参阅《用户指南》中的 “使用Kantar在 AWS Elemental MediaConvert 输出中添加音频水印”AWS Elemental MediaConvert 。
AWS Elemental MediaLive— 请参阅《MediaLive 用户指南》中的 “设置 MediaLive 为可信实体”。
AWS Elemental MediaPackage – 参见《AWS Elemental MediaPackage 用户指南》中的用于 CDN 授权的 Secrets Manager 访问。
AWS Elemental MediaTailor— 请参阅《AWS Elemental MediaTailor 用户指南》中的配置 Amazon Secrets Manager 访问令牌身份验证。
在 Amazon EC2 上运行的 Amazon EMR – 参阅 Amazon EMR 管理指南中的在 Secrets Manager 中存储敏感配置数据和向 Amazon EMR 添加基于 Git 的存储库。
EMR Serverless – 参阅 Amazon EMR Serverless 用户指南中的使用 EMR Serverless 进行数据保护的 Secrets Manager。
亚马逊 EventBridge — 请参阅由其他 Amazon 服务托管的 Amazon Secrets Manager 密钥。
Amazon FSx – 参阅 Amazon FSx for Windows File Server 用户指南中的文件共享和将文件共享配置迁移到 Amazon FSx。
Amazon Glue DataBrew请参阅 由其他 Amazon 服务托管的 Amazon Secrets Manager 密钥。
Amazon Glue Studio — 参见《Amazon Glue 开发者指南》中的教程:使用适用于 Elasticsearch 的 Amazon Glue 连接器。
Amazon IoT SiteWise – 参阅 Amazon IoT SiteWise 用户指南中的配置数据来源身份验证。
Amazon Kendra – 参阅 Amazon Kendra 用户指南中的使用数据库数据来源。
Amazon Kinesis Video Streams – 参阅 Amazon Kinesis Video Streams 开发人员指南中的将 Amazon Kinesis Video Streams Edge Agent 部署到 Amazon IoT Greengrass。
Amazon Launch Wizard— 请参阅《Amazon Launch Wizard 用户指南》中的 “为 Amazon Launch Wizard Active Directory 设置”。
Amazon Lookout for Metrics – 参阅 Amazon Lookout for Metrics 开发人员指南中的将 Amazon RDS 与 Lookout for Metrics 结合使用和将 Amazon Redshift 与 Lookout for Metrics 结合使用。
Amazon Managed Grafana – 参阅 Amazon Managed Grafana 用户指南中的配置 Amazon Redshift。
Amazon Managed Services – 参阅 AMS 高级用户指南中的 Amazon Secrets Manager (AMS 自助服务预置)。
Amazon Managed Streaming for Apache Kafka – 参阅 Amazon Managed Streaming for Apache Kafka 开发人员指南中的使用 Amazon Secrets Manager进行用户名和密码身份验证。
A@@ pache Airflow 的亚马逊托管工作流程 — 请参阅《Apache Airflow 的亚马逊托管工作流程用户指南》中的 Amazon Secrets Manager “使用 Secrets Manager 密钥配置 Apache 气流连接 ” 和 “使用密钥获取 A pache 气流变量”。
Amazon Web Services Marketplace请参阅 由其他 Amazon 服务托管的 Amazon Secrets Manager 密钥。
Amazon Migration Hub— 请参阅《Or Amazon Migration Hub chestrator 用户指南》中的 “将 SAP NetWeaver 应用程序迁移到 Amazon EC2 Amazon以及在 Amazon EC2 上重新托管应用程序”。
Amazon OpsWorks for Chef Automate请参阅 由其他 Amazon 服务托管的 Amazon Secrets Manager 密钥。
Amazon Panorama – 参阅 Amazon Panorama 开发人员指南中的管理 Amazon Panorama中的摄像机视频流。
Amazon ParallelCluster – 参阅 Amazon ParallelCluster 用户指南中的集成 Active Directory。
Amazon Q — 参见 Amazon Q 开发者指南中的概念——身份验证。
亚马逊 QuickSight — 参见《亚马逊 QuickSight 用户指南》中的使用 Amazon Secrets Manager 密码代替亚马逊 QuickSight中的数据库凭证。
Amazon RDS – 参阅 由其他 Amazon 服务托管的 Amazon Secrets Manager 密钥。
Amazon Redshift — 参见由其他 Amazon 服务托管的 Amazon Secrets Manager 密钥《亚马逊 Red shift 管理指南》中的 Amazon Secrets Manager、“在中存储数据库凭证”、“使用 Amazon Redshift 数据 API” 和 “使用查询编辑器查询数据库”。创建 Amazon Secrets Manager 数据库密钥
Amazon Redshift 查询编辑器 v2 – 参阅 由其他 Amazon 服务托管的 Amazon Secrets Manager 密钥。
亚马逊 SageMaker — 参见亚马逊开发者指南中的 Git 存储库与亚马逊 SageMaker 笔记本实例关联、从 Databricks 导入数据 (JDBC) 和从 Snowflake 导入数据。 SageMaker
Amazon Schema Conversion Tool— 请参阅《 Amazon SCT 用户指南》中的用户界面中的Amazon Schema Conversion Tool 使用 Amazon Secrets Manager。
Amazon Toolkit for JetBrains – 参阅 Amazon Toolkit for JetBrains 用户指南中的访问 Amazon Redshift 集群。
Amazon Transfer Family – 参阅 Amazon Transfer Family 用户指南中的 AS2 连接器的基本身份验证、使用自定义身份提供商以及生成和管理 PGP 密钥。
Amazon Wickr — 请参阅《W Amazon ickr 管理指南》中的 “启动数据保留机器人”。