本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
什么是 Amazon Secrets Manager?
借助 Amazon Secrets Manager,您可以在数据库凭证、应用程序凭证、OAuth 令牌、API 密钥和其他密钥的整个生命周期内对其进行管理、检索和轮换。许多 Amazon 服务将密钥存储在 Secrets Manager 中。
Secrets Manager 无需应用程序源代码中的硬编码凭证,因此可帮助您改进安全状况。将凭证存储在 Secrets Manager 中有助于避免检查您应用程序或组件的任何人泄露这些凭证。您可以将硬编码凭证替换为对 Secrets Manager 服务的运行时系统调用,以便在需要时动态检索凭证。
使用 Secrets Manager,您可以为密钥配置自动轮换计划。这样,您就可以将长期密钥替换为短期密钥,从而显著降低泄露风险。由于凭证不再与应用程序存储在一起,所以轮换凭证不再需要更新应用程序并将更改部署到应用程序客户端。
对于您的组织可能拥有的其他类型的密钥:
-
Amazon 凭证 – 建议使用 Amazon Identity and Access Management。
-
加密密钥 – 建议使用 Amazon Key Management Service。
-
SSH 密钥 – 建议使用 Amazon EC2 Instance Connect。
-
私有密钥和证书 – 建议使用 Amazon Certificate Manager。
Secrets Manager 入门
如果不熟悉 Secrets Manager,请从以下教程之一开始:
可使用密钥执行的其他任务:
符合标准
Amazon Secrets Manager 通过了审核,符合多项标准,可用于需要获取合规性认证的解决方案中。有关更多信息,请参阅 Amazon Secrets Manager 的合规性验证。
定价
使用 Secrets Manager 时,仅按实际使用量收费,无最低费用或设置费用。标记为已删除的密钥不收取任何费用。有关当前完整定价列表,请参阅 Amazon Secrets Manager 定价
您可以使用 Secrets Manager 创建的 Amazon 托管式密钥 aws/secretsmanager
免费加密密钥。如果您创建自己的 KMS 密钥来加密您的机密,Amazon 将按当前 Amazon KMS 费率向您收费。有关更多信息,请参阅Amazon Key Management Service 定价
当您开启自动轮换(托管轮换除外)时,Secrets Manager 会使用 Amazon Lambda 函数来轮换密钥,并且按当前 Lambda 费率向您收取轮换函数的费用。有关更多信息,请参阅Amazon Lambda 定价
如果在您的账户上启用了 Amazon CloudTrail,则可以获取 Secrets Manager 进行的 API 调用的日志。Secrets Manager 将所有事件记录为管理事件。Amazon CloudTrail 免费存储所有管理事件的第一个副本。但是,如果启用通知,可能会对 Amazon S3 的日志存储和 Amazon SNS 产生费用。此外,如果您设置了其他跟踪,管理事件的其他副本可能会产生费用。有关更多信息,请参阅Amazon CloudTrail 定价