本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 AWS Secrets Manager 托管的外部机密来管理第三方机密
托管外部密钥是一种新的密钥类型 AWS Secrets Manager ,可让您存储和自动轮换来自集成合作伙伴的证书。此功能无需为轮换集成合作伙伴密钥创建和维护自定义 AWS Lambda 函数。有关所有已加入合作伙伴的完整列表,请参阅集成合作伙伴。
当您在上面构建应用程序时 AWS,您的工作负载通常需要通过 API 密钥、 OAuth 令牌或凭据对等安全凭据与第三方应用程序进行交互。以前,您必须开发自定义方法来保护和管理这些证书,包括构建复杂的轮换 Lambda 函数,这些函数对于每个应用程序来说都是独有的,并且需要持续维护。
托管外部机密提供了一种标准化的方法,用于以每个合作伙伴规定的预定义格式存储第三方证书。该功能包括在创建密钥时启用的自动轮换(默认在控制台上)、对机密管理工作流程的完全透明和用户控制,以及 Secrets Manager 提供的完整功能集,包括细粒度的权限管理、可观察性、治理、合规性、灾难恢复和监控控制。
主要特征
托管外部机密提供了几项可简化第三方凭据管理的关键功能:
-
无 Lambda 的托管轮换消除了创建和管理自定义轮换函数的开销。当您创建外部服务器时,系统会自动启用轮换,您的账户中不部署任何 Lambda 函数。
-
预定义的密钥格式可确保密钥可以与集成合作伙伴正确关联,并包含轮换所需的元数据。每个合作伙伴都定义所需的格式。
-
集成的合作伙伴生态系统通过标准化的入职流程为多个合作伙伴提供支持。合作伙伴直接与 Secrets Manager 集成,为密钥创建和托管轮换功能提供编程指导。
-
完全可审计性通过 AWS CloudTrail 记录所有轮换活动、机密值更新和管理操作来保持完全的透明度。
