什么是 AWS Secrets Manager? - AWS Secrets Manager

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是 AWS Secrets Manager?

借助 AWS Secrets Manager,您可以在数据库凭证、应用程序凭证、OAuth 令牌、API 密钥和其他密钥的整个生命周期内对其进行管理、检索和轮换。许多 AWS 服务将密钥存储在 Secrets Manager 中。

Secrets Manager 无需应用程序源代码中的硬编码凭证,因此可帮助您改进安全状况。将凭证存储在 Secrets Manager 中有助于避免检查您应用程序或组件的任何人泄露这些凭证。您可以将硬编码凭证替换为对 Secrets Manager 服务的运行时系统调用,以便在需要时动态检索凭证。

使用 Secrets Manager,您可以为密钥配置自动轮换计划。这样,您就可以将长期密钥替换为短期密钥,从而显著降低泄露风险。由于凭证不再与应用程序存储在一起,所以轮换凭证不再需要更新应用程序并将更改部署到应用程序客户端。

对于您的组织可能拥有的其他类型的密钥:

Secrets Manager 入门

如果不熟悉 Secrets Manager,请从 AWS Secrets Manager 概念 或以下教程之一开始:

可使用密钥执行的其他任务:

符合标准

AWS Secrets Manager 通过了审核,符合多项标准,可用于需要获取合规性认证的解决方案中。有关更多信息,请参阅 AWS Secrets Manager 的合规性验证

定价

使用 Secrets Manager 时,仅按实际使用量收费,无最低费用或设置费用。标记为已删除的密钥不收取任何费用。有关当前完整定价列表,请参阅 AWS Secrets Manager 定价

您可以使用 Secrets Manager 创建的 AWS 托管式密钥 aws/secretsmanager 免费加密密钥。如果您创建自己的 KMS 密钥来加密您的机密,AWS 将按当前 AWS KMS 费率向您收费。有关更多信息,请参阅AWS Key Management Service 定价

当您开启自动轮换(托管轮换除外)时,Secrets Manager 会使用 AWS Lambda 函数来轮换密钥,并且按当前 Lambda 费率向您收取轮换函数的费用。有关更多信息,请参阅AWS Lambda 定价

如果在您的账户上启用了 AWS CloudTrail,则可以获取 Secrets Manager 进行的 API 调用的日志。Secrets Manager 将所有事件记录为管理事件。AWS CloudTrail 免费存储所有管理事件的第一个副本。但是,如果启用通知,可能会对 Amazon S3 的日志存储和 Amazon SNS 产生费用。此外,如果您设置了其他跟踪,管理事件的其他副本可能会产生费用。有关更多信息,请参阅AWS CloudTrail 定价

使用 AWS Secrets Manager 密钥的 AWS 服务