AWS 发布 Secrets Manager，用于存储、分发和旋转秘钥

看新闻很累？看技术新闻更累？试试下载 InfoQ 手机客户端，每天上下班路上听新闻，有趣还有料！

亚马逊宣布推出 AWS Secrets Manager ，用户可以使用 API​​或 AWS 命令行界面（CLI）轻松存储和检索秘钥。此外，用户可以使用内置的调度功能或自定义 Lambda 函数来轮换他们的凭证。 用户可以通过 AWS Secrets Manager 来集中管理分布式服务和应用程序的秘钥。

AWS Secrets Manager 是亚马逊为安全性和合规性而推出的多种新工具和服务之一。该服务简化了数据库凭证、密码或 API 密钥的管理。在旧金山召开的 AWS 峰会上，亚马逊 CTO Werner Vogel表示：

从此以后，你不必再往你的代码中加入秘钥。 Secrets Manager 让我们能够构建比过去更安全的系统。

AWS Secrets Manager 的用户可以通过细粒度的策略来管理对秘钥的访问、控制秘钥的生命周期以及集中保护和审核秘钥。此外，这是一种托管服务，提供了现收现付模式，并在大多数区域可用。

存储秘钥的典型方法是使用AWS Secrets Manager 控制台。用户可以按照向导过程的提示来保存秘钥，如数据库凭证或其他密码。

该向导将指导用户选择秘钥类型、指定名称和描述、配置秘钥轮换以及查看详细信息。此外，在最后的审查步骤中，用户还将看到一些存储和检索秘钥的示例代码，这些代码使用Java、JavaScript 或Python 编写。用户在保存好秘钥后，可以编辑或旋转秘钥。秘钥管理器的旋转功能可以按照用户给定的时间表进行设置，也可以通过具有旋转秘钥权限的Lambda 函数进行设置。用户可以使用Lambda 函数更灵活地旋转秘钥。

其他公共云提供商，如微软和谷歌，提供的是集中式管理的秘钥。与AWS Secrets Manager 类似， Azure Key Vault 也提供了基于策略的秘钥存储和管理，并且可以通过.NET 代码来访问秘钥。但是，Azure Key Vault 缺少内置旋转功能或直接与 Azure 函数集成。在 Azure Key Vault 中，需要手动轮换秘钥，或者通过调用 API 或执行脚本进行秘钥轮换。 Azure Key Vault 不仅提供了秘钥管理功能，还能管理加密秘钥。 Google Cloud Platform 通过 Cloud KMS 提供对秘钥的控制，用户因此能够存储和管理秘钥，包括政策和轮换。此外，与 Azure Key Vault 类似，该服务也提供加密秘钥的管理功能。然而，亚马逊则是通过 KMS 提供单独的密钥管理服务。

查看英文原文： Amazon Launches AWS Secrets Manager to Securely Store, Distribute, and Rotate Credentials