本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Secrets Manager 和 Terraform
<a name="using-secrets-manager-and-terraform"></a>

## AWS Secrets Manager
<a name="secrets-manager"></a>

[AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) 是一項服務，可安全地加密、儲存和輪換資料庫和其他服務的登入資料。它可協助您以 API 呼叫取代程式碼中的硬式編碼登入資料，包括密碼，以程式設計方式擷取秘密。在 Secrets Manager 中，*秘密*包含登入資料資訊 （這是*秘密值*) 及其中繼資料。秘密值可以是二進位、單一字串或多個字串。如需詳細資訊，請參閱[秘密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html#term_secret)。

Secrets Manager 使用 256 位元進階加密標準 (AES) 對稱資料金鑰來加密秘密值。如需詳細資訊，請參閱 [AWS Secrets Manager中的機密加密和解密](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html)。

您可以使用下列任一方法存取並使用 Secrets Manager：
+ Secrets Manager 主控台
+ 命令列工具
+ AWS SDKs
+ HTTPS 查詢 API，也稱為 *Secrets Manager API*
+ AWS Secrets Manager 端點

## Terraform
<a name="terraform"></a>

[https://developer.hashicorp.com/Terraform/intro](https://developer.hashicorp.com/Terraform/intro) 是 HashiCorp 的 IaC 工具，可協助您建立和管理雲端和內部部署資源。您可以使用 Terraform 在 中部署資源和基礎設施 AWS 雲端。

Terraform 會儲存受管 AWS 基礎設施及其組態的相關資訊。此資訊稱為 *狀態*。根據預設， 狀態會存放在名為 的本機檔案中`Terraform.tfstate`。此檔案為 JSON 格式，Terraform可能以純文字在此狀態檔案中存放敏感資料。這會對敏感資料造成風險，因為任何可存取狀態檔案的使用者都可以存取敏感資料。

本指南提供最佳實務和建議，協助您在使用 Terraform管理 AWS 資源時保護敏感資料。