什么是 Amazon Secrets Manager？

Amazon Secrets Manager 帮助您在数据库凭证、应用程序凭证、 OAuth 令牌、API 密钥和其他密钥的整个生命周期中对其进行管理、检索和轮换。许多 Amazon 服务在 Secrets Manager 中存储和使用密钥。

Secrets Manager 无需应用程序源代码中的硬编码凭证，因此可帮助您改进安全状况。将凭证存储在 Secrets Manager 中有助于避免检查您应用程序或组件的任何人泄露这些凭证。您可以将硬编码凭证替换为对 Secrets Manager 服务的运行时系统调用，以便在需要时动态检索凭证。

使用 Secrets Manager，您可以为密钥配置自动轮换计划。这样，您就可以将长期密钥替换为短期密钥，从而显著降低泄露风险。由于凭证不再与应用程序存储在一起，所以轮换凭证不再需要更新应用程序并将更改部署到应用程序客户端。

对于您的组织可能拥有的其他类型的密钥：

Amazon 凭证 — 我们推荐Amazon Identity and Access Management。
加密密钥 – 建议使用 Amazon Key Management Service。
SSH 密钥 — 我们建议使用 Amazon Instance EC2 Connect。
私有密钥和证书 – 建议使用 Amazon Certificate Manager。

Secrets Manager 入门

如果不熟悉 Secrets Manager，请从以下教程之一开始：

可使用密钥执行的其他任务：

符合标准

Amazon Secrets Manager 已经过多项标准的审计，当您需要获得合规性认证时，可以成为您的解决方案的一部分。有关更多信息，请参阅合规性验证 Amazon Secrets Manager。

定价

使用 Secrets Manager 时，仅按实际使用量收费，无最低费用或设置费用。标记为已删除的密钥不收取任何费用。有关当前完整定价列表，请参阅 Amazon Secrets Manager 定价。要监控成本，请参阅监控 Secrets Manager 成本。

你可以使用 Secrets Manager 创建的来免费加密你的秘密。 Amazon 托管式密钥 aws/secretsmanager如果您创建自己的 KMS 密钥来加密您的机密，则按当前费 Amazon KMS 率向您 Amazon 收费。有关更多信息，请参阅Amazon Key Management Service 定价。

当您开启自动轮换（托管轮换除外）时，Secrets Manager 会使用 Amazon Lambda 函数来轮换密钥，并按当前 Lambda 费率向您收取轮换功能的费用。有关更多信息，请参阅Amazon Lambda 定价。

如果您 Amazon CloudTrail 在自己的账户上启用，则可以获取 Secrets Manager 发送的 API 调用的日志。Secrets Manager 将所有事件记录为管理事件。 Amazon CloudTrail 免费存储所有管理事件的第一份副本。但是，如果启用通知，可能会对 Amazon S3 的日志存储和 Amazon SNS 产生费用。此外，如果您设置了其他跟踪，管理事件的其他副本可能会产生费用。有关更多信息，请参阅 Amazon CloudTrail 定价。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

访问 Secrets Manager