部分雲產品整合了KMS憑據,通過在雲產品中配置憑據名稱,雲產品從KMS中擷取憑據值後用於相關操作,使您需要在雲產品中使用的敏感憑據始終處於系統化的安全管控中,避免人工保管失誤導致憑據資訊泄露。
背景資訊
為避免在代碼中寫入程式碼憑據帶來的敏感資訊泄露風險,KMS提供憑據管理(Secrets Manager)功能。您可以將敏感資訊(資料庫帳號口令、伺服器帳號口令、SSH Key、存取金鑰等)在KMS中儲存為憑據,在應用中配置憑據名稱,當需要使用敏感資訊時應用從KMS動態擷取憑據。KMS提供憑據的全生命週期管理和安全便捷的應用接入方式,確保只有授權的使用者和服務才能訪問。
雲產品整合KMS憑據
您可以在KMS中集中管理認證,在雲產品中配置憑據名稱,經過授權後雲產品在需要時從KMS查看憑據中繼資料、擷取憑據值。這樣,操作人員能夠使用憑據,但無法看到憑據的具體內容,滿足“可用不可見”的憑據安全管理需求,有效降低憑據泄露的風險。
您在KMS中對憑據進行統一管理,雲產品在需要您提供憑據的功能中,允許您選擇使用KMS中的憑據。之後,雲產品從KMS即時擷取憑據並使用,您可通過Action Trail查看雲產品使用憑據的情況。
整合KMS憑據的雲產品
服務名稱 | 概述 | 參考文檔 |
Container Service for Kubernetes (ACK) | Container Service安裝憑據Kubernetes外掛程式(ack-secret-manager)後,您可以在外掛程式中配置KMS憑據名稱,外掛程式將定期從KMS中讀取最新的憑據值,緩衝在Kubernetes叢集中。從而可以按照使用Kubernetes原生Secret的方式使用您在KMS中管理的憑據,避免敏感性資料在應用開發構建流程中的傳播和泄露。 | |
Bastionhost | 在KMS中將ECS帳號口令或SSH金鑰組儲存為ECS憑據後,可以在Bastionhost直接匯入該ECS憑據,Bastionhost遠端連線ECS伺服器時,會自動從KMS擷取ECS憑據值,無需您在Bastionhost手動輸入ECS帳號口令或金鑰組。您可以在KMS對ECS憑據進行立即輪轉或配置周期輪轉,滿足安全與合規要求。 | |
Data Management (DMS) | 在KMS中將RDS帳號口令儲存為RDS憑據後,您可以在DMS配置匯入該憑據,當DMS遠端連線RDS資料庫時,會自動從KMS擷取RDS憑據值,以登入RDS資料庫,無需您在DMS手動輸入RDS帳號口令。您可以在KMS對RDS憑據進行立即輪轉或配置周期輪轉,滿足安全和合規要求。 |