11、AWS云环境下的加密与数据安全存储

AWS云环境下的加密与数据安全存储

1. 基础设施账户与加密概述

在云环境中，基础设施账户的管理方式有多种。一种是设置一个公共的基础设施账户，每个人都拥有根访问权限；更糟糕的是，只有一个人可以访问该基础设施账户，一旦这个人离职，整个公司的业务可能会陷入停滞。不过，这两种方式各有优劣，具体选择应根据实际情况决定。有人倾向于第二种方式，因为集中化的基础设施账户相较于分散在各处的加密密钥，更易于强化和保障安全。

2. AWS Secrets Manager介绍

• 背景与需求 ：几乎所有公司都面临着保护机密信息（如密码、凭证或令牌）安全的问题，在微服务架构中，这个问题变得更加严峻。在传统的单体应用中，应用数量有限，机密信息可以存储在一个地方，甚至可以靠记忆来管理。但在微服务架构下，机密信息的数量大幅增加，为了确保安全，每个微服务都应独立访问外部服务，且不重复使用密码。
• 解决方案 ：AWS推出了AWS Secrets Manager，它提供了集中存储机密信息的功能，同时又将存储进行隔离，并对所有机密信息进行了良好的访问控制。此外，它还能自动轮换某些AWS管理服务的密码。Secrets Manager具有独立于运行应用的IAM控制，即使应用被控制，机密信息仍然受到保护。它在存储机密信息之前会进行透明加密，在需要时进行解密。

3. AWS Secrets Manager的工作原理

以下是微服务（Service 1）通过AWS Secrets Manager获取数据库（DB1）密码的详细步骤：
1. Service