AWS学习笔记（二十）：CloudHSM, Secrets Manager

CloudHSM

AWS CloudHSM 是基于云的硬件安全模块 (HSM)，让您能够在 AWS 云上轻松生成和使用自己的加密密钥。借助 CloudHSM，您可以使用经过 FIPS 140-2 第 3 级验证的 HSM 管理自己的加密密钥。CloudHSM 让您可以灵活选择使用行业标准的 API 与应用程序集成，这些 API 包括 PKCS#11、Java 加密扩展 (JCE) 和 Microsoft CryptoNG (CNG) 库等。

此外，CloudHSM 符合标准，让您可以将所有密钥导出到大多数其他商用 HSM，具体取决于您的配置。它是一项完全托管的服务，可为您自动执行耗时的管理任务，例如硬件预置、软件修补、高可用性和备份。借助 CloudHSM，您还能够通过按需添加和删除 HSM 容量进行快速扩展和收缩，无任何预付费用。

Secrets Manager

AWS Secrets Manager 可帮助您保护访问应用程序、服务和 IT 资源所需的密钥。该服务使您能够轻松地跨整个生命周期轮换、管理和检索数据库凭证、API 密钥和其他密钥。用户和应用程序通过调用 Secrets Manager API 来检索密钥，无需对纯文本的敏感信息进行硬编码。Secrets Manager 通过适用于 Amazon RDS、Amazon Redshift 和 Amazon DocumentDB 的内置集成实现密钥轮换。此外，该服务还可以扩展到其他类型的密钥，包括 API 密钥和 OAuth 令牌。此外，Secrets Manager 使您能够使用精细权限来访问机密信息，并集中审核对 AWS 云、第三方服务和本地资源的密钥轮换。