Amazon Secrets Manager 文档

安全秘密存储 

Amazon Secrets Manager旨在使用您拥有并存储在Amazon Key Management Service (KMS)中的加密密钥对静态机密进行加密。当您检索机密时，Secrets Manager会解密机密密，并通过TLS将其安全地传输到您的本地环境。默认情况下，Secrets Manager不会将机密写入或缓存到持久存储。此外，您还可以使用精细的Amazon Identity and Access Management (IAM)策略以及基于资源的策略来控制对机密的访问。   

自动轮换机密，不中断应用程序  

借助Amazon Secrets Manager，您可以使用Secrets Manager控制台、Amazon开发工具包或Amazon CLI按计划或按需轮换机密。  

自动将密钥复制到多个亚马逊云科技中国区域  

借助Amazon Secrets Manager，您可以将您的密钥复制到多个亚马逊云科技中国区域，以满足独特的灾难恢复和跨区域冗余要求。   

程序化检索机密 

您可以使用Amazon Secrets Manager控制台、Amazon开发工具包、Amazon CLI或Amazon CloudFormation来存储和检索机密。要检索机密，您可将应用程序中的明文秘密替换为代码，以便使用Secrets Manager API以程序化方式拉取这些机密。   

审计和监控机密使用情况 

Amazon Secrets Manager使您能够通过与 亚马逊云科技日志记录、监控和通知服务集成来审计和监控机密。  

您可以使用Amazon Secrets Manager控制台、Amazon开发工具包、Amazon CLI或Amazon CloudFormation来存储和检索机密。要检索机密，您可将应用程序中的明文秘密替换为代码，以便使用Secrets Manager API以程序化方式拉取这些机密。   

合规性 

您可以使用Amazon Secrets Manager管理工作负载的密钥，其受以下规定的约束：国防部云计算安全要求指南（DoD CC SRG IL2、DoD CC SRG IL4 和 DoD CC SRG IL5）、美国联邦风险和授权管理计划（FedRAMP）、美国健康保险流通与责任法案（HIPAA）、信息安全注册评估计划（IRAP）、外包服务提供商审计报告（OSPAR)、ISO/IEC 27001、ISO/IEC 27017、ISO/IEC 27018、ISO 9001、支付卡行业数据安全标准（PCI-DSS）或系统和组织控制（SOC）。    

其他信息 

有关服务控制、安全特性及功能的其他信息，包括有关存储、检索、修改、限制和删除数据的信息，请参见 https://docs.amazonaws.cn/。以上链接包含的信息不构成光环新网关于亚马逊云科技（北京区域）的客户协议或西云数据关于亚马逊云科技（宁夏区域）的客户协议的“文档”的一部分，也不构成您与光环新网或西云数据之间就您使用亚马逊云科技中国区域服务达成的其他协议的任何部分。