Quick Answer
AWS Secrets Manager gemmer, krypterer og roterer automatisk følsomme legitimationsoplysninger som databaseadgangskoder, API-nøgler og tokens. Det eliminerer behovet for at hardkode hemmeligheder i din applikationskode ved at give sikker, API-baseret adgang til legitimationsoplysninger under kørsel. Hvordan gemmer og krypterer Secrets Manager hemmeligheder? Hver hemmelighed, der er gemt i Secrets Manager, krypteres i hvile ved hjælp af AWS KMS (Key Management Service) krypteringsnøgler. Når du opretter en hemmelighed, angiver du den følsomme værdi (en adgangskode, forbindelsesstreng eller JSON-blob), og Secrets Manager krypterer den før lagring. Du kan bruge den standard AWS-administrerede nøgle eller angive din egen kundeadministrerede KMS-nøgle for yderligere kontrol. Adgang styres gennem IAM-politikker - kun autoriserede brugere, roller og applikationer kan hente hemmeligheder. Hvert adgangsforsøg logges i AWS CloudTrail, hvilket skaber et komplet revisionsspor. Hvordan fungerer automatisk hemmelig rotation? Secrets Manager kan automatisk rotere legitimationsoplysninger efter en tidsplan, du definerer, uden at kræve nedetid for programmet.
Key Topics Covered
AWS Secrets Manager gemmer, krypterer og roterer automatisk følsomme legitimationsoplysninger som databaseadgangskoder, API-nøgler og tokens. Det eliminerer behovet for at hardkode hemmeligheder i din applikationskode ved at give sikker, API-baseret adgang til legitimationsoplysninger under kørsel.
Hvordan gemmer og krypterer Secrets Manager hemmeligheder?
Hver hemmelighed, der er gemt i Secrets Manager, krypteres i hvile ved hjælp af AWS KMS (Key Management Service) krypteringsnøgler. Når du opretter en hemmelighed, angiver du den følsomme værdi (en adgangskode, forbindelsesstreng eller JSON-blob), og Secrets Manager krypterer den før lagring. Du kan bruge den standard AWS-administrerede nøgle eller angive din egen kundeadministrerede KMS-nøgle for yderligere kontrol.
Adgang styres gennem IAM-politikker - kun autoriserede brugere, roller og applikationer kan hente hemmeligheder. Hvert adgangsforsøg logges i AWS CloudTrail, hvilket skaber et komplet revisionsspor.
Hvordan fungerer automatisk hemmelig rotation?
Secrets Manager kan automatisk rotere legitimationsoplysninger efter en tidsplan, du definerer, uden at kræve nedetid for programmet. Rotation bruger en Lambda-funktion, der genererer en ny legitimation, opdaterer den i både Secrets Manager og måltjenesten (som en RDS-database) og verificerer, at den nye legitimationsoplysninger fungerer, før den gamle trækkes tilbage.
Indbygget rotationsunderstøttelse er tilgængelig for Amazon RDS, Amazon Redshift og Amazon DocumentDB. For andre tjenester kan du skrive brugerdefinerede Lambda-rotationsfunktioner.
Har I brug for hjælp med cloud?
Book et gratis 30-minutters møde med en af vores specialister inden for cloud. Vi analyserer jeres behov og giver konkrete anbefalinger — helt uden forpligtelse.
Hvordan henter applikationer hemmeligheder?
Applikationer kalder Secrets Manager API ved kørsel for at hente den aktuelle hemmelige værdi i stedet for at læse legitimationsoplysninger fra konfigurationsfiler eller miljøvariabler. Det typiske flow er:
- Applikationen kalder
GetSecretValueAPI med det hemmelige navn - Secrets Manager bekræfter IAM-tilladelser
- Hvis den er godkendt, returneres den dekrypterede hemmelige værdi
- Applikationen bruger legitimationsoplysningerne til at oprette forbindelse til måltjenesten
SDK'er er tilgængelige til Python, Java, Node.js, Go, .NET og andre sprog. Caching-biblioteker reducerer API-kald og forsinkelser for hemmeligheder, der ofte tilgås.
Hvad koster Secrets Manager?
Prisen er baseret på antallet af gemte hemmeligheder ($0,40/hemmelighed/måned) og API-kald ($0,05 pr. 10.000 opkald). Der er ingen gebyr for hemmeligheder oprettet og slettet inden for samme dag, hvilket er nyttigt under udvikling og test.
For organisationer, der administrerer flere AWS-konti og -tjenester, kan Opsios IT-sikkerhedstjenester designe og implementere en hemmelighedsstyringsstrategi, der inkluderer rotationspolitikker, adgangsstyring og usage of credentialusage of credential.
Written By
Country Manager, Sweden at Opsio
Johan leads Opsio's Sweden operations, driving AI adoption, DevOps transformation, security strategy, and cloud solutioning for Nordic enterprises. With 12+ years in enterprise cloud infrastructure, he has delivered 200+ projects across AWS, Azure, and GCP — specialising in Well-Architected reviews, landing zone design, and multi-cloud strategy.
Editorial standards: Denne artikel er skrevet af cloud-praktikere og gennemgået af vores ingeniørteam. Vi opdaterer indhold kvartalsvist. Opsio opretholder redaktionel uafhængighed.