Visão geral do segredo
Segredos compartilhados
O gerenciamento do ciclo de vida completo é suportado para segredos personalizados em diferentes cenários. Você pode usar o CSMS para gerenciar, recuperar e armazenar de forma centralizada e segura vários tipos de segredos, como senhas de contas de bancos de dados, senhas de servidores, chaves SSH e chaves de acesso. Várias versões podem ser gerenciadas, para que você possa alternar segredos.
Segredos do RDS
O vazamento de segredos de banco de dados é a principal causa de vazamento de dados. O CSMS suporta o host de segredo do RDS e a rotação automática e manual, atendendo a vários cenários de gerenciamento de segredos de banco de dados e reduzindo os riscos de segurança enfrentados pelos dados de serviço.
Diferenças entre segredos compartilhados e segredos do RDS
Segredo compartilhado |
Segredo do RDS |
|
---|---|---|
Cenário de aplicação |
Suporta o gerenciamento do ciclo de vida completo de segredos personalizados em diferentes cenários. |
Hospeda automaticamente os segredos do banco de dados do RDS da Huawei Cloud. |
Rotação automática |
Não suportado. Os usuários precisam acionar a rotação. |
Suportado. Modelos de rotação de usuário único e usuário duplo são suportados. |
Uso de segredos do RDS
Descrição do processo:
- Crie um segredo do RDS.
- Defina o nome e a tag de segredos.
- Configure uma política de rotação automática.
- Um sistema de aplicação pode solicitar um segredo de acesso do CSMS e obter o valor de segredo para acessar o banco de dados correspondente. Para obter detalhes sobre como chamar APIs, consulte Consulta da versão e do valor do segredo.
- O sistema de aplicação usa o valor de segredo retornado para analisar os dados de texto não criptografado. Depois de obter a conta e a senha, o sistema da aplicação pode acessar o banco de dados de destino correspondente ao usuário.
- Depois que a rotação automática estiver ativada, as senhas hospedadas pela instância do banco de dados serão atualizadas periodicamente. Certifique-se de que a aplicação que usa a instância de banco de dados tenha concluído a adaptação do código para que os segredos mais recentes possam ser obtidos dinamicamente quando a conexão de banco de dados for estabelecida.
- Não armazene em cache nenhuma informação em segredos. Caso contrário, a conta e a senha podem se tornar inválidas após a rotação, causando falhas de conexão de banco de dados.