Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Atualizado em 2024-09-14 GMT+08:00

Visão geral do segredo

Segredos compartilhados

O gerenciamento do ciclo de vida completo é suportado para segredos personalizados em diferentes cenários. Você pode usar o CSMS para gerenciar, recuperar e armazenar de forma centralizada e segura vários tipos de segredos, como senhas de contas de bancos de dados, senhas de servidores, chaves SSH e chaves de acesso. Várias versões podem ser gerenciadas, para que você possa alternar segredos.

Segredos do RDS

O vazamento de segredos de banco de dados é a principal causa de vazamento de dados. O CSMS suporta o host de segredo do RDS e a rotação automática e manual, atendendo a vários cenários de gerenciamento de segredos de banco de dados e reduzindo os riscos de segurança enfrentados pelos dados de serviço.

Diferenças entre segredos compartilhados e segredos do RDS

Tabela 1 Diferença entre credenciais
  

Segredo compartilhado

Segredo do RDS

Cenário de aplicação

Suporta o gerenciamento do ciclo de vida completo de segredos personalizados em diferentes cenários.

Hospeda automaticamente os segredos do banco de dados do RDS da Huawei Cloud.

Rotação automática

Não suportado. Os usuários precisam acionar a rotação.

Suportado. Modelos de rotação de usuário único e usuário duplo são suportados.

Uso de segredos do RDS

Figura 1 Arquitetura

Descrição do processo:

  1. Crie um segredo do RDS.
  • Defina o nome e a tag de segredos.
  • Configure uma política de rotação automática.
  1. Um sistema de aplicação pode solicitar um segredo de acesso do CSMS e obter o valor de segredo para acessar o banco de dados correspondente. Para obter detalhes sobre como chamar APIs, consulte Consulta da versão e do valor do segredo.
  2. O sistema de aplicação usa o valor de segredo retornado para analisar os dados de texto não criptografado. Depois de obter a conta e a senha, o sistema da aplicação pode acessar o banco de dados de destino correspondente ao usuário.
    • Depois que a rotação automática estiver ativada, as senhas hospedadas pela instância do banco de dados serão atualizadas periodicamente. Certifique-se de que a aplicação que usa a instância de banco de dados tenha concluído a adaptação do código para que os segredos mais recentes possam ser obtidos dinamicamente quando a conexão de banco de dados for estabelecida.
    • Não armazene em cache nenhuma informação em segredos. Caso contrário, a conta e a senha podem se tornar inválidas após a rotação, causando falhas de conexão de banco de dados.