本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 什么是 AWS Secrets Manager？
<a name="intro"></a>

AWS Secrets Manager 帮助您在数据库凭证、应用程序凭证、 OAuth 令牌、API 密钥和其他密钥的整个生命周期中对其进行管理、检索和轮换。许多 AWS 服务在 Secrets Manager 中存储和使用密钥。

Secrets Manager 无需应用程序源代码中的硬编码凭证，因此可帮助您改进安全状况。将凭证存储在 Secrets Manager 中有助于避免检查您应用程序或组件的任何人泄露这些凭证。您可以将硬编码凭证替换为对 Secrets Manager 服务的运行时系统调用，以便在需要时动态检索凭证。

使用 Secrets Manager，您可以为密钥配置自动轮换计划。这样，您就可以将长期密钥替换为短期密钥，从而显著降低泄露风险。由于凭证不再与应用程序存储在一起，所以轮换凭证不再需要更新应用程序并将更改部署到应用程序客户端。

对于您的组织可能拥有的其他类型的密钥：
+ AWS 凭证 — 我们推荐[AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。
+ 加密密钥 – 建议使用 [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)。
+ SSH 密钥 — 我们建议使用 [Amazon Instance EC2 Connect](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Connect-using-EC2-Instance-Connect.html)。
+ 私有密钥和证书 – 建议使用 [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)。

## Secrets Manager 入门
<a name="get-started"></a>

如果不熟悉 Secrets Manager，请从以下教程之一开始：
+ [将硬编码的机密移至 AWS Secrets Manager](hardcoded.md)
+ [将硬编码的数据库凭据移至 AWS Secrets Manager](hardcoded-db-creds.md)
+ [为用户设置交替轮换 AWS Secrets Manager](tutorials_rotation-alternating.md)
+ [为设置单用户轮换 AWS Secrets Manager](tutorials_rotation-single.md)

可使用密钥执行的其他任务：
+ [管理密钥](managing-secrets.md)
+ [控制对密钥的访问](auth-and-access.md)
+ [获取密钥](retrieving-secrets.md)
+ [轮换 密钥](rotating-secrets.md)
+ [监控密钥](monitoring.md)
+ [监控密钥的合规性](configuring-awsconfig-rules.md)
+ [在中创建密钥 AWS CloudFormation](cloudformation.md)

## 符合标准
<a name="compliance"></a>

AWS Secrets Manager 已经过多项标准的审计，当您需要获得合规性认证时，可以成为您的解决方案的一部分。有关更多信息，请参阅 [合规性验证 AWS Secrets Manager](secretsmanager-compliance.md)。

## 定价
<a name="asm_pricing"></a>

使用 Secrets Manager 时，仅按实际使用量收费，无最低费用或设置费用。标记为已删除的密钥不收取任何费用。有关当前完整定价列表，请参阅 [AWS Secrets Manager 定价](https://aws.amazon.com/secrets-manager/pricing)。要监控成本，请参阅 [监控 Secrets Manager 成本](monitor-secretsmanager-costs.md)。

你可以使用 Secrets Manager 创建的来免费加密你的秘密。 AWS 托管式密钥 `aws/secretsmanager`如果您创建自己的 KMS 密钥来加密您的机密，则按当前费 AWS KMS 率向您 AWS 收费。有关更多信息，请参阅[AWS Key Management Service 定价](https://aws.amazon.com/kms/pricing)。

当您开启自动轮换（[托管轮](rotate-secrets_managed.md)换除外）时，Secrets Manager 会使用 AWS Lambda 函数来轮换密钥，并按当前 Lambda 费率向您收取轮换功能的费用。有关更多信息，请参阅[AWS Lambda 定价](https://aws.amazon.com//lambda/pricing/)。

如果您 AWS CloudTrail 在自己的账户上启用，则可以获取 Secrets Manager 发送的 API 调用的日志。Secrets Manager 将所有事件记录为管理事件。 AWS CloudTrail 免费存储所有管理事件的第一份副本。但是，如果启用通知，可能会对 Amazon S3 的日志存储和 Amazon SNS 产生费用。此外，如果您设置了其他跟踪，管理事件的其他副本可能会产生费用。有关更多信息，请参阅[AWS CloudTrail 定价](https://aws.amazon.com/cloudtrail/pricing)。

您可以在 Secrets Manager 中使用成本分配标签来跟踪和分类与特定密钥或项目相关联的费用。有关更多信息，请参阅[在中标记机密 AWS Secrets Manager](managing-secrets_tagging.md)本指南和 AWS Billing 用户指南中的[使用 AWS 成本分配标签](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/cost-alloc-tags.html)。