AWS Secrets Manager 是一種機密管理服務,可協助您保護應用程式、服務和 IT 資源的存取。這個服務可讓您在資料庫登入資料、API 金鑰和其他密碼的整個生命週期輕鬆進行輪換、管理和擷取。您可以使用 Secrets Manager 保護和管理用來在 AWS 雲端、第三方服務和現場部署存取資源的密碼。
AWS Secrets Manager 可保護對應用程式、服務和 IT 資源的存取,且沒有操作自己基礎設施所需的前期投資和持續維護成本。
Secrets Manager 適合希望以安全且可擴展的方法存放和管理機密的 IT 管理員使用。負責滿足法規和合規需求的安全管理員可使用 Secrets Manager 監控和輪換機密,且不會對應用程式造成影響。想要替換應用程式硬編碼密碼的開發人員可以透過程式設計的方式,從 Secrets Manager 擷取密碼。
AWS Secrets Manager 可讓您集中存放、擷取、控制存取權、輪換、稽核和監控密碼。
您可以靜態加密機密,以降低未經授權使用者檢視敏感資訊的可能性。要擷取機密,只要將應用程式中的純文字機密取代為程式碼,然後使用 Secrets Manager API 以程式設計的方式引入這些機密即可。使用 AWS Identity and Access Management (IAM) 政策控制哪些使用者和應用程式可存取這些機密。您可以針對 AWS 上託管的受支援資料庫類型依時間表或隨需輪換密碼,且不會對應用程式造成影響。您可以修改範例 Lambda 函數來延伸此功能以輪換其他機密,像是 Amazon EC2 託管的 Oracle 資料庫密碼或 OAuth 重新整理字符。您也可以稽核和監控機密,因為 Secrets Manager 與 AWS CloudTrail、Amazon CloudWatch 和 Amazon Simple Notification Service (Amazon SNS) 整合。
您可以管理以下機密:資料庫登入資料、內部部署資源登入資料、SaaS 應用程式登入資料、第三方 API 金鑰和 Secure Shell (SSH) 金鑰等。Secrets Manager 可讓您存放 JSON 文件,以管理 64 KB 或更小的任何文字內容。
您可透過原生方式輪換 Amazon Relational Database Service (RDS)、Amazon DocumentDB 和 Amazon Redshift 的憑證。您可以修改 Secrets Manager 文件中的範例 AWS Lambda 函數來延伸 Secrets Manager 以輪換其他機密,像是 EC2 託管的 Oracle 資料庫登入資料或 OAuth 重新整理字符。
首先,必須撰寫 AWS Identity and Access Management (IAM) 政策,以允許應用程式存取特定機密。接著,在應用程式原始程式碼中,以程式碼取代純文字機密,然後使用 Secrets Manager API 以程式設計的方式擷取這些機密。如需完整的詳細資訊和範例,請參閱 AWS Secrets Manager 使用者指南。
要開始使用 AWS Secrets Manager:
請參閱 AWS 區域表,查看目前可使用 AWS 服務的區域。
您可以使用 AWS Secrets Manager 依時間表設定資料庫登入資料輪換。這可讓您遵循安全最佳實務,同時安全地輪換資料庫登入資料。Secrets Manager 起始輪換時,會使用您提供的超級資料庫登入資料建立擁有相同權限但不同密碼的複製使用者。接著,Secrets Manager 會將複製使用者資訊傳達到資料庫,應用程式便會擷取該資料庫登入資料。要進一步了解輪換,請參閱 AWS Secrets Manager 輪換指南。
否。建立連接時會進行身份驗證。AWS Secrets Manager 輪換資料庫登入資料時,不會重新驗證開啟的資料庫連接。
您可以設定 Amazon CloudWatch Events,在 AWS Secrets Manager 輪換機密時接收通知。您也可以使用 Secrets Manager 主控台或 API,查看 Secrets Manager 上次輪換機密的時間。
AWS Secrets Manager 使用您擁有且存放在 AWS Key Management Service (KMS) 的加密金鑰進行靜態加密。您可以透過 AWS Identity and Access Management (IAM) 政策控制對機密的存取。擷取機密時,Secrets Manager 會解密該機密,然後透過 TLS 安全地將它傳輸到您的本機環境。根據預設,Secrets Manager 不會將密碼寫入或快取到持久性儲存。
您可以使用 AWS Identity and Access Management (IAM) 政策,控制使用者和應用程式擷取或管理特定機密的存取許可。例如,您可以建立一個政策,僅允許開發人員擷取用於開發環境的機密。要進一步了解,請參閱 AWS Secrets Manager 的身份驗證與存取控制。
AWS Secrets Manager 使用信封加密 (AES-256 加密演算法),在 AWS Key Management Service (KMS) 加密您的密碼。
第一次使用 Secrets Manager 時,您可以指定用來加密機密的 AWS KMS 金鑰。如果未提供 KMS 金鑰,Secrets Manager 會自動為您的帳戶建立 AWS KMS 預設金鑰。存放機密時,Secrets Manager 會要求 KMS 提供純文字和加密的資料金鑰。Secrets Manager 使用純文字資料金鑰在記憶體加密機密。AWS Secrets Manager 會存放並維護加密的機密和資料金鑰。擷取機密時,Secrets Manager 會解密該資料金鑰 (使用 AWS KMS 預設金鑰),然後使用純文字資料金鑰解密該機密。資料金鑰存放時會加密,而且絕對不會以純文字的形式寫入磁碟。此外,Secrets Manager 不會將純文字密碼寫入或快取到持久性儲存。
使用 Secrets Manager,您僅需按用量付費,而且沒有最低費用。開始使用服務時,沒有安裝費,也無須簽訂合約。每個月底將自動向您的信用卡收取當月使用費。費用會依每月存放的密碼數量和對服務發出的 API 請求數計算。
如需最新的定價資訊,請參閱 AWS Secrets Manager 定價。
是,您可以透過 AWS Secrets Manager 30 天免費試用,免費試用 Secrets Manager。您可以在 30 天的免費試用期間輪換、管理和擷取機密。免費試用從您存放第一個密碼開始計算。