什么是 Amazon Secrets Manager? - Amazon Secrets Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 Amazon Secrets Manager?

借助 Amazon Secrets Manager,您可以在数据库凭证、应用程序凭证、OAuth 令牌、API 密钥和其他密钥的整个生命周期内对其进行管理、检索和轮换。许多 Amazon 服务将密钥存储在 Secrets Manager 中。

Secrets Manager 无需应用程序源代码中的硬编码凭证,因此可帮助您改进安全状况。将凭证存储在 Secrets Manager 中有助于避免检查您应用程序或组件的任何人泄露这些凭证。您可以将硬编码凭证替换为对 Secrets Manager 服务的运行时系统调用,以便在需要时动态检索凭证。

使用 Secrets Manager,您可以为密钥配置自动轮换计划。这样,您就可以将长期密钥替换为短期密钥,从而显著降低泄露风险。由于凭证不再与应用程序存储在一起,所以轮换凭证不再需要更新应用程序并将更改部署到应用程序客户端。

对于您的组织可能拥有的其他类型的密钥:

Secrets Manager 入门

如果不熟悉 Secrets Manager,请从以下教程之一开始:

可使用密钥执行的其他任务:

符合标准

Amazon Secrets Manager 通过了审核,符合多项标准,可用于需要获取合规性认证的解决方案中。有关更多信息,请参阅 Amazon Secrets Manager 的合规性验证

定价

使用 Secrets Manager 时,仅按实际使用量收费,无最低费用或设置费用。标记为已删除的密钥不收取任何费用。有关当前完整定价列表,请参阅 Amazon Secrets Manager 定价。要监控成本,请参阅 监控 Secrets Manager 成本

您可以使用 Secrets Manager 创建的 Amazon 托管式密钥 aws/secretsmanager 免费加密密钥。如果您创建自己的 KMS 密钥来加密您的机密,Amazon 将按当前 Amazon KMS 费率向您收费。有关更多信息,请参阅Amazon Key Management Service 定价

当您开启自动轮换(托管轮换除外)时,Secrets Manager 会使用 Amazon Lambda 函数来轮换密钥,并且按当前 Lambda 费率向您收取轮换函数的费用。有关更多信息,请参阅Amazon Lambda 定价

如果在您的账户上启用了 Amazon CloudTrail,则可以获取 Secrets Manager 进行的 API 调用的日志。Secrets Manager 将所有事件记录为管理事件。Amazon CloudTrail 免费存储所有管理事件的第一个副本。但是,如果启用通知,可能会对 Amazon S3 的日志存储和 Amazon SNS 产生费用。此外,如果您设置了其他跟踪,管理事件的其他副本可能会产生费用。有关更多信息,请参阅Amazon CloudTrail 定价