安全的密碼儲存

AWS Secrets Manager 使用您擁有且存放在 AWS Key Management Service (KMS) 的加密金鑰,加密閒置的密碼。擷取密碼時,Secrets Manager 會將密碼解密,然後透過 TLS 安全地傳輸到您的本機環境。根據預設,Secrets Manager 不會將密碼寫入或快取至持久性儲存。此外,您可以透過精細的 AWS Identity and Access Management (IAM) 政策和資源導向的政策,控制對密碼的存取權限。  您也可以個別標記密碼,套用以標記為基礎的存取控制。舉例來說,您可以標記生產環境所使用的「Prod」密碼,然後撰寫 IAM 政策,僅針對公司 IT 網路內部的請求授予密碼存取權。

自動化密碼輪換,不會中斷應用程式

使用 AWS Secrets Manager,您可以透過 Secrets Manager 主控台、AWS 開發套件或 AWS CLI 依時間表或需求輪換密碼。例如,若要輪換資料庫密碼,您需要在 Secrets Manager 存放密碼時提供資料庫類型、輪換頻率和主資料庫登入資料。Secrets Manager 原生支援 Amazon RDS 和 Amazon DocumentDB 託管資料庫及 Amazon Redshift 託管叢集的登入資料。您可以修改範例 Lambda 函數來延伸 Secrets Manager,輪換其他密碼。例如,您可以輪換授權應用程式所需的 OAuth 重新整理權杖,或是現場部署託管 MySQL 資料庫所用的密碼。使用者和應用程式會使用 Secrets Manager API 呼叫取代硬編碼密碼來擷取密碼,如此不僅可自動化密碼輪換,還能確保應用程式不會中斷執行。

以程式設計的方式擷取密碼

您可以使用 AWS Secrets Manager 主控台、AWS 開發套件、AWS CLI 或 AWS CloudFormation 存放和擷取密碼。若要擷取密碼,只要將應用程式中的純文字密碼取代為程式碼,然後使用 Secrets Manager API 以程式設計的方式引入這些密碼即可。Secrets Manager 提供呼叫 Secrets Manager API 的程式碼範例,您也可以在 Secrets Manager 資源頁面找到這些資訊。  您可以設定 Amazon Virtual Private Cloud (VPC) 端點,將 VPC 和 Secrets Manager 之間的流量留在 AWS 網路內。您也可以使用 AWS Secrets Manager 用戶端快取程式庫,提高密碼的可用性,並減少使用時的延遲現象。

稽核和監控密碼使用情況

AWS Secrets Manager 可讓您透過整合的 AWS 記錄、監控和通知服務,有效稽核及監控密碼。例如,啟用 AWS 區域的 AWS CloudTrail 之後,您可以透過檢視 AWS CloudTrail 日誌,稽核密碼存放或輪換的時間。同樣地,您可以設定 Amazon CloudWatch,在一段期間未使用該密碼時透過 Amazon Simple Notification Service 接收電子郵件訊息,或者可以設定 Amazon CloudWatch Events,在 Secrets Manager 輪換您的密碼時接收推送通知。

合規

您可以使用 AWS Secrets Manager 管理美國規範工作負載的密碼。健康保險流通與責任法案 (HIPAA)、支付卡產業資料安全標準 (PCI-DSS)、ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018 或 ISO 9001。查看 AWS 合規計劃的詳細資訊及 AWS Artifact 中的報告。

進一步了解 AWS Secrets Manager 定價

瀏覽定價頁面
準備好開始建立了嗎?
開始使用 AWS Secrets Manager
還有其他問題嗎?
聯絡我們