AWS Secrets Manager 功能

AWS Secrets Manager 使用您拥有并存储在 AWS Key Management Service（AWS KMS）中的加密密钥静态加密您的密钥。 

• 检索密钥时，Secrets Manager 将解密密钥并将其通过 TLS 安全传输到本地环境。
• Secrets Manager 与 AWS Identity and Access Management（IAM）集成，以使用细化 IAM 策略和基于资源的策略来控制对密钥的访问。

借助 AWS Secrets Manager，您可以使用 Secrets Manager 控制台、AWS 软件开发工具包或 AWS CLI 按计划或按需轮换密钥。 

• Secrets Manager 以原生方式支持轮换 Amazon RDS 和 Amazon DocumentDB 上托管的数据库以及 Amazon Redshift 上托管的集群的凭证。
  
• 您可以通过修改示例 Lambda 函数来扩展 Secrets Manager 以轮换用于其他 AWS 或 3P 服务的密钥。

借助 AWS Secrets Manager，您可以自动将您的密钥复制到多个 AWS 区域，以满足独特的灾难恢复和跨区域冗余要求。指定需要复制密钥的 AWS 区域，Secrets Manager 将安全地创建区域读取副本，从而无需为此功能维护复杂的解决方案。您可以让您的多区域应用程序访问所需区域中的复制密钥，并依赖 Secrets Manager 使副本与主密钥保持同步。

构建应用程序时，首先考虑密钥的安全性。

• Secrets Manager 提供代码示例以从常用编程语言调用 Secrets Manager API。有两种类型的 API 可以检索密钥：
  • 按名称或 ARN 检索单个密钥。
  • 通过提供名称或 ARN 列表或筛选条件（例如标签）来检索一组密钥。
• 配置 Amazon Virtual Private Cloud（VPC）端点，以在 AWS 网络中保持 VPC 和 Secrets Manager 之间的流量。
• 您还可以使用 Secrets Manager 客户端缓存库来提高可用性并减少密钥检索期间的延迟。

AWS Secrets Manager 允许您通过与 AWS 日志记录、监控和通知服务集成来审核和监控密钥。例如，为 AWS 区域启用 AWS CloudTrail 后，您可以通过查看 AWS CloudTrail 日志在创建或轮换密钥时执行审核。同样，您可以将 Amazon CloudWatch 配置为在一段时间未使用密钥后使用 Amazon Simple Notification Service 接收电子邮件，或者您可以将 Amazon CloudWatch Events 配置为在 Secrets Manager 轮换密钥时接收推送通知。

您可以使用 AWS Secrets Manager 来满足合规性要求。

• 使用 AWS Config 以帮助您验证密钥是否根据贵组织的安全性和合规性要求进行配置。
• 管理工作负载的密钥，其受以下规定的约束：国防部云计算安全要求指南（DoD CC SRG IL2、DoD CC SRG IL4 和 DoD CC SRG IL5）、美国联邦风险和授权管理计划（FedRAMP）、美国健康保险流通与责任法案（HIPAA）、信息安全注册评估计划（IRAP）、外包服务提供商审计报告（OSPAR)、ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018、ISO 9001、支付卡行业数据安全标准（PCI-DSS）或系统和组织控制（SOC）。
• 在 AWS Artifact 中查看 AWS 合规性计划和报告的详细信息。

AWS 服务与 Secrets Manager 集成以安全地管理您的凭证。这些集成可帮助您安全地与各种 AWS 服务交换凭证。Secrets Manager 中存储的凭证使用 AWS 托管 KMS 密钥或客户托管密钥进行加密。Secrets Manager 定期轮换密钥以保持较高的安全性。使用 Secrets Manager 存储密钥后，您将能够向 AWS 服务提供密钥的 ARN 而不是明文凭证。以下服务为客户提供 Secrets Manager 支持，以安全地交换凭证：