部分云产品集成了KMS凭据,通过在云产品中配置凭据名称,云产品从KMS中获取凭据值后用于相关操作,使您需要在云产品中使用的敏感凭据始终处于系统化的安全管控中,避免人工保管失误导致凭据信息泄露。
背景信息
为避免在代码中硬编码凭据带来的敏感信息泄露风险,KMS提供凭据管理(Secrets Manager)功能。您可以将敏感信息(数据库账号口令、服务器账号口令、SSH Key、访问密钥等)在KMS中保存为凭据,在应用中配置凭据名称,当需要使用敏感信息时应用从KMS动态获取凭据。KMS提供凭据的全生命周期管理和安全便捷的应用接入方式,确保只有授权的用户和服务才能访问。
云产品集成KMS凭据
您可以在KMS中集中管理凭据,在云产品中配置凭据名称,经过授权后云产品在需要时从KMS查看凭据元数据、获取凭据值。这样,操作人员能够使用凭据,但无法看到凭据的具体内容,满足“可用不可见”的凭据安全管理需求,有效降低凭据泄露的风险。
您在KMS中对凭据进行统一管理,云产品在需要您提供凭据的功能中,允许您选择使用KMS中的凭据。之后,云产品从KMS实时获取凭据并使用,您可通过操作审计查看云产品使用凭据的情况。
集成KMS凭据的云产品
服务名称 | 概述 | 参考文档 |
容器服务 Kubernetes 版 ACK(Container Service for Kubernetes) | 容器服务安装凭据Kubernetes插件(ack-secret-manager)后,您可以在插件中配置KMS凭据名称,插件将定期从KMS中读取最新的凭据值,缓存在Kubernetes集群中。从而可以按照使用Kubernetes原生Secret的方式使用您在KMS中管理的凭据,避免敏感数据在应用开发构建流程中的传播和泄露。 | |
运维安全中心(堡垒机)(Bastionhost) | 在KMS中将ECS账号口令或SSH密钥对保存为ECS凭据后,可以在堡垒机直接导入该ECS凭据,堡垒机远程连接ECS服务器时,会自动从KMS获取ECS凭据值,无需您在堡垒机手动输入ECS账号口令或密钥对。您可以在KMS对ECS凭据进行立即轮转或配置周期轮转,满足安全与合规要求。 | |
数据管理 DMS(Data Management) | 在KMS中将RDS账号口令保存为RDS凭据后,您可以在DMS配置导入该凭据,当DMS远程连接RDS数据库时,会自动从KMS获取RDS凭据值,以登录RDS数据库,无需您在DMS手动输入RDS账号口令。您可以在KMS对RDS凭据进行立即轮转或配置周期轮转,满足安全和合规要求。 |