安全密钥存储

AWS Secrets Manager 使用您拥有并存储在 AWS Key Management Service (KMS) 中的加密密钥静态加密您的密钥。检索密钥时,Secrets Manager 将解密密钥并将其通过 TLS 安全传输到本地环境。默认情况下,Secrets Manager 不会将密钥写入或缓存到永久存储。您还可以使用细化 AWS Identity and Access Management (IAM) 策略和基于资源的策略来控制对密钥的访问。  您还可以单独标记密钥和应用基于标记的访问控制。例如,您可以将生产环境中使用的密钥标记为“Prod”,然后编写 IAM 策略以便仅在请求来自公司 IT 网络时授予这些机密的访问权限。

自动轮换密钥而不中断应用程序

借助 AWS Secrets Manager,您可以使用 Secrets Manager 控制台、AWS 软件开发工具包或 AWS CLI 按计划或按需轮换密钥。例如,要轮换数据库密码,则在 Secrets Manager 中存储密码时提供数据库类型、轮换频率和主数据库凭证。Secrets Manager 以原生方式支持轮换 Amazon RDS 和 Amazon DocumentDB 上托管的数据库以及 Amazon Redshift 上托管的集群的凭证。您可以通过修改示例 Lambda 函数来扩展 Secrets Manager 以轮换其他密钥。例如,您可以轮换用于授权应用程序的 OAuth 刷新令牌或用于本地托管的 MySQL 数据库的密码。用户和应用程序通过将硬编码密钥替换为对 Secrets Manager API 的调用来检索密钥,从而允许在确保应用程序不间断运行时自动化密钥轮换。

以编程方式检索密钥

您可以使用 AWS Secrets Manager 控制台、AWS SDK、AWS CLI 或 AWS CloudFormation 存储和检索密钥。要检索密钥,您只需使用 Secrets Manager API 将应用程序中的纯文本密钥替换为代码,以便以编程方式调出这些密钥。Secrets Manager 提供用于调用 Secrets Manager API 的代码示例,Secrets Manager 资源页面上也提供此示例。  您可以配置 Amazon Virtual Private Cloud (VPC) 端点,以在 AWS 网络中保持 VPC 和 Secrets Manager 之间的流量。使用 Secrets Manager 客户端缓存库改进使用密钥的可用性和延迟性。

审核和监控密钥使用情况

AWS Secrets Manager 允许您通过与 AWS 日志记录、监控和通知服务集成来审核和监控密钥。例如,为 AWS 区域启用 AWS CloudTrail 后,您可以通过查看 AWS CloudTrail 日志在存储或轮换密钥时执行审核。同样,您可以将 Amazon CloudWatch 配置为在一段时间未使用密钥后使用 Amazon Simple Notification Service 接收电子邮件,或者您可以将 Amazon CloudWatch Events 配置为在 Secrets Manager 轮换密钥时接收推送通知。

合规性

您可以使用 AWS Secrets Manager 来管理受美国健康保险流通与责任法案 (HIPAA)、支付卡行业数据安全标准 (PCI DSS) 、ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018 或 ISO 9001 约束的工作负载的密钥。查看 AWS Artifact 中的 AWS 合规计划和报告的详情。

了解有关 AWS Secrets Manager 定价的更多信息

访问定价页面
准备好开始构建了?
开始使用 AWS Secrets Manager
还有更多问题?
联系我们