一般問題

什麼是 AWS Secrets Manager? 

AWS Secrets Manager 是一種機密管理服務,可協助您保護應用程式、服務和 IT 資源的存取。這個服務可讓您在資料庫登入資料、API 金鑰和其他機密的整個生命週期輕鬆進行輪換、管理和擷取。您可以使用 Secrets Manager 保護和管理用來在 AWS 雲端、第三方服務和現場部署存取資源的機密。

為什麼要使用 AWS Secrets Manager? 

AWS Secrets Manager 可保護對應用程式、服務和 IT 資源的存取,且沒有操作自己基礎設施所需的前期投資和持續維護成本。

Secrets Manager 適合希望以安全且可擴展的方法存放和管理機密的 IT 管理員使用。負責滿足法規和合規需求的安全管理員可使用 Secrets Manager 監控和輪換機密,且不會對應用程式造成影響。想要替換應用程式硬編碼機密的開發人員可以透過程式設計的方式,從 Secrets Manager 擷取機密。

 

AWS Secrets Manager 可以用來做什麼?

AWS Secrets Manager 可讓您集中存放、擷取、控制存取、輪換、稽核和監控機密。

您可以靜態加密機密,以降低未經授權使用者檢視敏感資訊的可能性。要擷取機密,只要將應用程式中的純文字機密取代為程式碼,然後使用 Secrets Manager API 以程式設計的方式引入這些機密即可。使用 AWS Identity and Access Management (IAM) 政策控制哪些使用者和應用程式可存取這些機密。您可以針對 AWS 上託管的受支援資料庫類型依時間表或隨需輪換密碼,且不會對應用程式造成影響。您可以修改範例 Lambda 函數來延伸此功能以輪換其他機密,像是 Amazon EC2 託管的 Oracle 資料庫密碼或 OAuth 重新整理字符。您也可以稽核和監控機密,因為 Secrets Manager 與 AWS CloudTrailAmazon CloudWatchAmazon Simple Notification Service (Amazon SNS) 整合。

可在 AWS Secrets Manager 中管理哪些機密?

您可以管理以下機密:資料庫登入資料、內部部署資源登入資料、SaaS 應用程式登入資料、第三方 API 金鑰和 Secure Shell (SSH) 金鑰等。Secrets Manager 可讓您存放 JSON 文件,以管理 64 KB 或更小的任何文字內容。

可使用 AWS Secrets Manager 輪換哪些機密?

您可透過原生方式輪換 Amazon Relational Database Service (RDS)、Amazon DocumentDBAmazon Redshift 的登入資料。您可以修改 Secrets Manager 文件中的範例 AWS Lambda 函數來延伸 Secrets Manager 以輪換其他機密,像是 EC2 託管的 Oracle 資料庫登入資料或 OAuth 重新整理字符。

我的應用程式可如何使用這些機密?

首先,必須撰寫 AWS Identity and Access Management (IAM) 政策,以允許應用程式存取特定機密。接著,在應用程式原始程式碼中,以程式碼取代純文字機密,然後使用 Secrets Manager API 以程式設計的方式擷取這些機密。如需完整的詳細資訊和範例,請參閱 AWS Secrets Manager 使用者指南

如何開始使用 AWS Secrets Manager?

要開始使用 AWS Secrets Manager:

  1. 識別您的機密,並找出在應用程式中使用這些機密的位置。
  2. 使用您的 AWS 登入資料登入 AWS 管理主控台,然後瀏覽到 Secrets Manager 主控台
  3. 使用 Secrets Manager 主控台上傳您識別的機密。或者,您可以使用 AWS 開發套件或 AWS CLI 上傳機密 (每個機密一次)。您也可以撰寫指令碼來上傳多個機密。
  4. 如果您的機密還不在使用中,請依照主控台上的指示操作,以設定自動輪換。如果應用程式正在使用您的機密,先完成步驟 (5) 和 (6),再設定自動輪換。
  5. 如果其他使用者或應用程式需要擷取機密,可撰寫 IAM 政策授與機密的許可。
  6. 更新應用程式,以便從 Secrets Manager 擷取機密。

哪些區域提供 AWS Secrets Manager?

請參閱 AWS 區域表,查看目前可使用 AWS 服務的區域。

輪換

 

AWS Secrets Manager 如何以不影響應用程式的方式實作資料庫登入資料輪換?

您可以使用 AWS Secrets Manager 依時間表設定資料庫登入資料輪換。這可讓您遵循安全最佳實務,同時安全地輪換資料庫登入資料。Secrets Manager 起始輪換時,會使用您提供的超級資料庫登入資料建立擁有相同權限但不同密碼的複製使用者。接著,Secrets Manager 會將複製使用者資訊傳達到資料庫,應用程式便會擷取該資料庫登入資料。要進一步了解輪換,請參閱 AWS Secrets Manager 輪換指南。

輪換資料庫登入資料是否會影響開啟的連接?

否。建立連接時會進行身份驗證。AWS Secrets Manager 輪換資料庫登入資料時,不會重新驗證開啟的資料庫連接。

如何知道 AWS Secrets Manager 何時輪換資料庫登入資料?

您可以設定 Amazon CloudWatch Events,在 AWS Secrets Manager 輪換機密時接收通知。您也可以使用 Secrets Manager 主控台或 API,查看 Secrets Manager 上次輪換機密的時間。 

安全性

AWS Secrets Manager 如何保護我的機密安全?

AWS Secrets Manager 使用您擁有且存放在 AWS Key Management Service (KMS) 的加密金鑰進行靜態加密。您可以透過 AWS Identity and Access Management (IAM) 政策控制對機密的存取。擷取機密時,Secrets Manager 會解密該機密,然後透過 TLS 安全地將它傳輸到您的本機環境。根據預設,Secrets Manager 不會將機密寫入或快取至持久性儲存。

哪些人可以在 AWS Secrets Manager 使用和管理機密?

您可以使用 AWS Identity and Access Management (IAM) 政策,控制使用者和應用程式擷取或管理特定機密的存取許可。例如,您可以建立一個政策,僅允許開發人員擷取用於開發環境的機密。要進一步了解,請參閱 AWS Secrets Manager 的身份驗證與存取控制

AWS Secrets Manager 如何加密我的機密?

AWS Secrets Manager 使用信封加密 (AES-256 加密演算法),在 AWS Key Management Service (KMS) 加密您的機密。

第一次使用 Secrets Manager 時,您可以指定用來加密機密的 AWS KMS 金鑰。如果未提供 KMS 金鑰,Secrets Manager 會自動為您的帳戶建立 AWS KMS 預設金鑰。存放機密時,Secrets Manager 會要求 KMS 提供純文字和加密的資料金鑰。Secrets Manager 使用純文字資料金鑰在記憶體加密機密。AWS Secrets Manager 會存放並維護加密的機密和資料金鑰。擷取機密時,Secrets Manager 會解密該資料金鑰 (使用 AWS KMS 預設金鑰),然後使用純文字資料金鑰解密該機密。資料金鑰存放時會加密,而且絕對不會以純文字的形式寫入磁碟。此外,Secrets Manager 不會將純文字機密寫入或快取到持久性儲存。

計費

使用 AWS Secrets Manager 如何計價和收費?

使用 Secrets Manager,您僅需按用量付費,而且沒有最低費用。開始使用服務時,沒有安裝費,也無須簽訂合約。每個月底將自動向您的信用卡收取當月使用費。費用會依每月存放的機密數量和對服務發出的 API 請求數計算。

如需最新的定價資訊,請參閱 AWS Secrets Manager 定價

是否提供免費試用?

是,您可以透過 AWS Secrets Manager 30 天免費試用,免費試用 Secrets Manager。您可以在 30 天的免費試用期間輪換、管理和擷取機密。免費試用從您存放第一個機密開始計算。

進一步了解產品定價

檢視定價範例和計算您的成本。

進一步了解 
註冊免費帳戶

立即存取 AWS 免費方案。 

註冊 
開始在主控台進行建置

開始在 AWS 主控台中使用 AWS Secrets Manager 進行建置。

登入