本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 AWS Secrets Manager 托管的外部机密来管理第三方机密
<a name="managed-external-secrets"></a>

托管外部密钥是一种新的密钥类型 AWS Secrets Manager ，可让您存储和自动轮换来自集成合作伙伴的证书。此功能无需为轮换集成合作伙伴密钥创建和维护自定义 AWS Lambda 函数。有关所有已加入合作伙伴的完整列表，请参阅[集成](mes-partners.md)合作伙伴。

当您在上面构建应用程序时 AWS，您的工作负载通常需要通过 API 密钥、 OAuth 令牌或凭据对等安全凭据与第三方应用程序进行交互。以前，您必须开发自定义方法来保护和管理这些证书，包括构建复杂的轮换 Lambda 函数，这些函数对于每个应用程序来说都是独一无二的，并且需要持续维护。

托管外部机密提供了一种标准化的方法，用于以每个合作伙伴规定的预定义格式存储第三方证书。该功能包括在创建密钥时启用的自动轮换（默认在控制台上）、对机密管理工作流程的完全透明和用户控制，以及 Secrets Manager 提供的完整功能集，包括细粒度的权限管理、可观察性、治理、合规性、灾难恢复和监控控制。

## 主要功能
<a name="mes-key-features"></a>

托管外部机密提供了几项可简化第三方凭据管理的关键功能：
+ **无 Lambda 的托管轮换**消除了创建和管理自定义轮换函数的开销。当您创建外部服务器时，系统会自动启用轮换，您的账户中不部署任何 Lambda 函数。
+ **预定义的密钥格式**可确保密钥可以与集成合作伙伴正确关联，并包含轮换所需的元数据。每个合作伙伴都定义所需的格式。
+ **集成的合作伙伴生态系统**通过标准化的入职流程为多个合作伙伴提供支持。合作伙伴直接与 Secrets Manager 集成，为密钥创建和托管轮换功能提供编程指导。
+ **完全可审计性**通过 AWS CloudTrail 记录所有轮换活动、机密值更新和管理操作来保持完全的透明度。