一般問題

什麼是 AWS Secrets Manager? 

AWS Secrets Manager 是一種密碼管理服務,可協助您保護應用程式、服務和 IT 資源的存取。這個服務可讓您在資料庫登入資料、API 金鑰和其他密碼的整個生命週期輕鬆進行輪換、管理和擷取。您可以使用 Secrets Manager 保護和管理用來在 AWS 雲端、第三方服務和現場部署存取資源的密碼。

為什麼要使用 AWS Secrets Manager? 

AWS Secrets Manager 可保護對應用程式、服務和 IT 資源的存取,且沒有操作自己基礎設施所需的前期投資和持續維護成本。

Secrets Manager 適合希望以安全且可擴展的方法存放和管理密碼的 IT 管理員使用。負責滿足法規和合規需求的安全管理員可使用 Secrets Manager 監控和輪換密碼,且不會對應用程式造成影響。想要替換應用程式硬編碼密碼的開發人員可以透過程式設計的方式,從 Secrets Manager 擷取密碼。

 

AWS Secrets Manager 可以用來做什麼?

AWS Secrets Manager 可讓您集中存放、擷取、控制存取權、輪換、稽核和監控密碼。

您可以靜態加密密碼,以降低未經授權使用者檢視敏感資訊的可能性。要擷取密碼,只要將應用程式中的純文字密碼取代為程式碼,然後使用 Secrets Manager API 以程式設計的方式引入這些密碼即可。使用 AWS Identity and Access Management (IAM) 政策控制哪些使用者和應用程式可存取這些密碼。您可以針對 AWS 上託管的受支援資料庫類型依時間表或隨需輪換密碼,且不會對應用程式造成影響。您可以修改範例 Lambda 函數來延伸此功能以輪換其他密碼,像是 Amazon EC2 託管的 Oracle 資料庫密碼或 OAuth 重新整理字符。您也可以稽核和監控密碼,因為 Secrets Manager 與 AWS CloudTrailAmazon CloudWatchAmazon Simple Notification Service (Amazon SNS) 整合。

可在 AWS Secrets Manager 中管理哪些密碼?

您可以管理以下密碼:資料庫登入資料、現場部署資源登入資料、SaaS 應用程式登入資料、第三方 API 金鑰和 Secure Shell (SSH) 金鑰等。Secrets Manager 可讓您存放 JSON 文件,以管理 4 KB 或更小的任何文字內容。

可使用 AWS Secrets Manager 輪換哪些密碼?

您可以原生的方式輪換適用於 MySQL、PostgreSQL 和 Amazon Aurora 的 Amazon Relational Database Service (RDS) 登入資料。您可以修改 Secrets Manager 文件中的範例 AWS Lambda 函數來延伸這個功能以輪換其他密碼,像是 EC2 託管的 Oracle 資料庫登入資料或 OAuth 重新整理字符。

我的應用程式可如何使用這些密碼?

首先,必須撰寫 AWS Identity and Access Management (IAM) 政策以允許應用程式存取特定密碼。接著,在應用程式原始程式碼中,以程式碼取代純文字密碼,然後使用 Secrets Manager API 以程式設計的方式擷取這些密碼。如需完整的詳細資訊和範例,請參閱 AWS Secrets Manager User Guide

如何開始使用 AWS Secrets Manager?

要開始使用 AWS Secrets Manager:

  1. 識別您的密碼,並找出在應用程式中使用這些密碼的位置。
  2. 使用您的 AWS 登入資料登入 AWS 管理主控台,然後瀏覽到 Secrets Manager 主控台
  3. 使用 Secrets Manager 主控台上傳您識別的密碼。或者,您可以使用 AWS 開發套件或 AWS CLI 上傳密碼 (每個密碼一次)。您也可以撰寫指令碼以上傳多個密碼。
  4. 如果您尚未使用密碼,請依照主控台上的指示操作,設定自動輪換。如果應用程式正在使用您的密碼,先完成步驟 (5) 和 (6),再設定自動輪換。
  5. 如果其他使用者或應用程式需要擷取密碼,可撰寫 IAM 政策授與密碼的許可。
  6. 更新應用程式,從 Secrets Manager 擷取密碼。

哪些區域提供 AWS Secrets Manager?

請參閱 AWS 區域表,查看目前可使用 AWS 服務的區域。

輪換

 

AWS Secrets Manager 如何以不影響應用程式的方式實作資料庫登入資料輪換?

您可以使用 AWS Secrets Manager 依時間表設定資料庫登入資料輪換。這可讓您遵循安全最佳實務,同時安全地輪換資料庫登入資料。Secrets Manager 起始輪換時,會使用您提供的超級資料庫登入資料建立擁有相同權限但不同密碼的複製使用者。接著,Secrets Manager 會將複製使用者資訊傳達到資料庫,應用程式便會擷取該資料庫登入資料。要進一步了解輪換,請參閱 AWS Secrets Manager 輪換指南。

輪換資料庫登入資料是否會影響開啟的連接?

否。建立連接時會進行身份驗證。AWS Secrets Manager 輪換資料庫登入資料時,不會重新驗證開啟的資料庫連接。

如何知道 AWS Secrets Manager 何時輪換資料庫登入資料?

您可以設定 Amazon CloudWatch Events,在 AWS Secrets Manager 輪換密碼時接收通知。您也可以使用 Secrets Manager 主控台或 API 查看 Secrets Manager 上次輪換密碼的時間。 

安全性

AWS Secrets Manager 如何保護我的密碼安全?

AWS Secrets Manager 使用您擁有且存放在 AWS Key Management Service (KMS) 的加密金鑰進行靜態加密。您可以透過 AWS Identity and Access Management (IAM) 政策控制對密碼的存取權。擷取密碼時,Secrets Manager 會將密碼解密,然後透過 TLS 安全地傳輸到您的本機環境。根據預設,Secrets Manager 不會將密碼寫入或快取到持久性儲存。

哪些人可以在 AWS Secrets Manager 使用和管理密碼?

您可以使用 AWS Identity and Access Management (IAM) 政策,控制使用者和應用程式擷取或管理特定密碼的存取許可。例如,您可以建立一個政策,僅允許開發人員擷取用於開發環境的密碼。要進一步了解,請參閱 Authentication and Access Control for AWS Secrets Manager

AWS Secrets Manager 如何加密我的密碼?

AWS Secrets Manager 使用信封加密 (AES-256 加密演算法),在 AWS Key Management Service (KMS) 加密您的密碼。

第一次使用 Secrets Manager 時,您可以指定用來加密密碼的客戶主金鑰 (CMK)。如果未提供 CMK,Secrets Manager 會自動為您的帳戶建立 AWS KMS 預設金鑰。存放密碼時,Secrets Manager 會要求 KMS 提供純文字和加密的資料金鑰。Secrets Manager 使用純文字資料金鑰在記憶體加密密碼。AWS Secrets Manager 會存放並維護加密的密碼和資料金鑰。擷取密碼時,Secrets Manager 會將資料金鑰解密 (使用 AWS KMS 預設金鑰),然後使用純文字資料金鑰解密密碼。資料金鑰存放時會加密,而且不會以純文字的形式寫入磁碟。此外,Secrets Manager 不會將純文字密碼寫入或快取到持久性儲存。

計費

使用 AWS Secrets Manager 如何計價和收費?

使用 Secrets Manager,您僅需按用量付費,而且沒有最低費用。開始使用服務時,沒有安裝費,使用者無須對服務的使用簽訂任何長期使用期限合約。每個月底將自動向您的信用卡收取當月使用費。費用會依每月存放的密碼數量和對服務發出的 API 請求數計算。

如需最新的定價資訊,請參閱 AWS Secrets Manager 定價

是否提供免費試用?

是,您可以透過 AWS Secrets Manager 30 天免費試用,免費試用 Secrets Manager。您可以在 30 天的免費試用期間輪換、管理和擷取密碼。免費試用從您存放第一個密碼開始計算。

進一步了解 AWS Secrets Manager 定價

瀏覽定價頁面
準備好開始建立?
開始使用 AWS Secrets Manager
還有其他問題嗎?
聯絡我們