安全的密碼儲存
AWS Secrets Manager 使用您擁有且存放在 AWS Key Management Service (AWS KMS) 的加密金鑰,加密靜態機密。
- 擷取機密時,AWS Secrets Manager 會解密該機密,然後透過 TLS 安全地將它傳輸到您的本機環境。
- AWS Secrets Manager 與 AWS Identity and Access Management (IAM) 整合,以使用精細的 IAM 政策和以資源為基礎的政策,來控制對金鑰的存取。
自動化密碼輪換,不會中斷應用程式
使用 AWS Secrets Manager,您可以透過 Secrets Manager 主控台、AWS 開發套件或 AWS CLI 依時間表或需求輪換機密。
- AWS Secrets Manager 原生支援 Amazon RDS 和 Amazon DocumentDB 託管資料庫及 Amazon Redshift 託管叢集的憑證。
- 您可以修改範例 Lambda 函數來擴展 AWS Secrets Manager,以輪換與其他 AWS 或 3P 服務一起使用的金鑰。
自動將機密複製到多個 AWS 區域
藉助 AWS Secrets Manager,您可以將您的機密自動複製到多個 AWS 區域,以滿足您獨特的災難復原和跨區域冗餘的需求。指定需要在其中複寫機密的 AWS 區域,並且 AWS Secrets Manager 會安全地建立區域僅供讀取複本,而無需為此功能維護複雜的解決方案。您可以讓多區域應用程式存取所需區域中的複寫機密,並依靠 Secrets Manager 確保複本與主要機密保持同步。
以程式設計的方式擷取密碼
以機密安全性為首要考量來建置您的應用程式。
- AWS Secrets Manager 提供程式碼範例,以從常用程式設計語言來呼叫 AWS Secrets Manager API。有兩種類型的 API 可擷取機密:
- 依名稱或 ARN 擷取單一機密。
- 提供名稱清單或 ARN,或篩選標籤等條件來擷取一組機密。
- 您可以設定 Amazon Virtual Private Cloud (VPC) 端點,將 VPC 和 AWS Secrets Manager 之間的流量留在 AWS 網路內。
- 您還可以在機密擷取期間,使用 AWS Secrets Manager 用戶端快取程式庫來改善機密的可用性並減少使延遲。
稽核和監控密碼使用情況
AWS Secrets Manager 可讓您透過整合的 AWS 記錄、監控和通知服務,有效稽核及監控機密。例如,啟用 AWS 區域的 AWS CloudTrail 之後,您可以透過檢視 AWS CloudTrail 日誌,稽核機密建立或輪換的時間。同樣地,您可以設定 Amazon CloudWatch,在一段期間未使用該密碼時透過 Amazon Simple Notification Service 接收電子郵件訊息,或者可以設定 Amazon CloudWatch Events,在 Secrets Manager 輪換您的密碼時接收推送通知。
合規
您可以使用 AWS Secrets Manager 來滿足合規要求。
- 使用 AWS Config 規則,來協助您驗證機密設定是否符合您組織的安全與合規要求。
- 管理受以下規範約束的工作負載的機密:美國國防部雲端運算安全要求指南 (DoD CC SRG IL2、DoD CC SRG IL4 和 DoD CC SRG IL5)、聯邦風險與授權管理計劃 (FedRAMP)、美國健康保險流通與責任法案 (HIPAA)、資訊安全註冊評估機構計劃 (IRAP)、委外服務供應商的稽核報告 (OSPAR)、ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018、ISO 9001、支付卡產業資料安全標準 (PCI-DSS) 或系統與組織控制 (SOC)。
- 檢視 AWS 合規計劃的詳細資訊及 AWS Artifact 中的報告。
AWS Secrets Manager 整合
AWS 服務與 AWS Secrets Manager 整合,以安全地管理您的憑證。這些整合可協助您安全地與各種 AWS 服務交換憑證。憑證存放在 AWS Secrets Manager 中,使用 AWS 受管 KMS 金鑰或客戶受管金鑰進行加密。AWS Secrets Manager 會定期輪換機密,以保持較高的安全性。使用 AWS Secrets Manager 存放您的機密後,您將能夠向 AWS 服務提供機密 ARN 而不是純文字憑證。
整合的服務
企業版 Alexa
AWS App2Container
Amazon AppFlow
AWS AppSync
Amazon Athena
AWS CodeBuild
AWS Direct Connect
AWS Directory Service
Amazon DocumentDB (with MongoDB compatibility)
AWS Elemental MediaLive
AWS Elemental MediaConnect
AWS Elemental MediaConvert
Amazon CodeGuru Reviewer
AWS Elemental MediaPackage
AWS Elemental MediaTailor
Amazon EMR
Amazon EventBridge
Amazon FSx
AWS Glue DataBrew
AWS Glue Studio
AWS IoT SiteWise
Amazon Kendra
AWS 實驗室
Amazon Lookout for Metrics
Amazon Managed Streaming for Apache Kafka (Amazon MSK)
Amazon Managed Workflows for Apache Airflow (Amazon MWAA)
AWS Migration Hub
AWS OpsWorks for Chef Automate
Amazon Relational Database Service (Amazon RDS)
Amazon Redshift
Amazon Redshift 查詢編輯器 v2
Amazon SageMaker
AWS Toolkit for JetBrains
AWS Transfer Family