Amazon Web Services(AWS)本周發(fā)表了AWS Secrets Manager ,讓使用者可藉由API或AWS命令列介面來(lái)管理存放於應用程式中的各種機密資訊,諸如密碼、資料庫存取憑證或API金鑰等,可望解決云端時(shí)代最令人頭痛的安全問(wèn)題之一。
不少開(kāi)發(fā)人員會(huì )直接將存取各式服務(wù)的憑證寫(xiě)入應用的程式碼中,除了造成潛在的安全風(fēng)險之外,若要定期更換憑證,也要更新與重新遞交應用程式,若該憑證由不同的程式共享,還可能會(huì )落掉某個(gè)程式忘了更新,而AWS Secrets Manager則是一個(gè)可把憑證嵌入應用的工具,不必把憑證寫(xiě)進(jìn)程式碼,也無(wú)需設為環(huán)境變數。
AWS說(shuō)明,AWS Secrets Manager可用來(lái)取代程式中寫(xiě)死的憑證,利用API呼叫AWS Secrets Manager以取用憑證能確保憑證不被那些檢視程式碼的人所危害。此外,開(kāi)發(fā)人員還能配置AWS Secrets Manager以讓它自動(dòng)進(jìn)行憑證更換,省卻更換憑證的繁瑣程序。
專(zhuān)門(mén)推廣AWS服務(wù)的Randall Hunt舉例,假設他有一個(gè)專(zhuān)門(mén)接收Twitter推文并將它們存於Amazon Aurora資料庫的應用程式,過(guò)去他必須向資料庫管理人員索取一組帳號及密碼,并將這些憑證嵌入環(huán)境變數中,也必須向社交媒介管理人員索取Twitter API憑證,這不但牽涉到許多人,且要更換憑證時(shí)就得重來(lái)一次。
透過(guò)AWS Secrets Manager即可簡(jiǎn)化上述流程,它不僅能管理存取AWS服務(wù)的憑證,也能管理就地部署或其它第三方服務(wù)的憑證,適用於憑證管理人員、資料庫服務(wù)管理人員與應用程式開(kāi)發(fā)者。
