安全密钥存储

AWS Secrets Manager 使用您拥有并存储在 AWS Key Management Service (KMS) 中的加密密钥静态加密您的密钥。检索密钥时,Secrets Manager 将解密密钥并将其通过 TLS 安全传输到本地环境。默认情况下,Secrets Manager 不会将密钥写入或缓存到永久存储。您还可以使用细化 AWS Identity and Access Management (IAM) 策略来控制对密钥的访问。

自动轮换密钥而不中断应用程序

借助 AWS Secrets Manager,您可以使用 Secrets Manager 控制台、AWS 软件开发工具包或 AWS CLI 按计划或按需轮换密钥。例如,要轮换数据库密码,则在 Secrets Manager 中存储密码时提供数据库类型、轮换频率和主数据库凭证。您还可以通过修改示例 Lambda 函数来扩展此功能以轮换其他密钥。例如,您可以轮换用于授权应用程序的 OAuth 刷新令牌或用于本地托管的 MySQL 数据库的密码。用户和应用程序通过将硬编码密钥替换为对 Secrets Manager API 的调用来检索密钥,从而允许在确保应用程序不间断运行时自动化密钥轮换。

以编程方式检索密钥

您可以使用 AWS Secrets Manager 控制台、AWS 软件开发工具包或 AWS CLI 存储和检索密钥。要检索密钥,您只需使用 Secrets Manager API 将应用程序中的纯文本密钥替换为代码,以便以编程方式调出这些密钥。Secrets Manager 提供用于调用 Secrets Manager API 的代码示例,Secrets Manager 资源页面上也提供此示例。

审核和监控密钥使用情况

AWS Secrets Manager 允许您通过与 AWS 日志记录、监控和通知服务集成来审核和监控密钥。例如,为 AWS 区域启用 AWS CloudTrail 后,您可以通过查看 AWS CloudTrail 日志在存储或轮换密钥时执行审核。同样,您可以将 Amazon CloudWatch 配置为在一段时间未使用密钥后使用 Amazon Simple Notification Service 接收电子邮件,或者您可以将 Amazon CloudWatch Events 配置为在 Secrets Manager 轮换密钥时接收推送通知。

了解有关 AWS Secrets Manager 定价的更多信息

访问定价页面
准备好开始构建?
开始使用 AWS Secrets Manager
还有更多问题?
联系我们