针对敏感配置、敏感凭据硬编码带来的泄露风险问题,所有的凭据由密钥管理系统(KMS)进行加密保护,并且提供简单易用的 API 和 SDK,能够降低用户的使用成本和管理成本。 用户可通过凭据管理系统轻松实现对数据库凭证、API 密钥和其他密钥、敏感配置的集中检索、管理以及加密存储,有效避免程序硬编码导致的明文泄密,以及权限失控带来的业务风险。
安全可控的凭据检索
从应用程序的源代码中删除硬编码凭据,将代码中的硬编码凭据替换为对凭据管理系统 API 调用,以便用编程的方式动态检索及管理凭据。
凭据加密存储与传输
凭据管理系统使用 密钥管理系统(KMS)安全保护的主密钥(CMK)作为加密密钥,并对所管理的凭据内容进行加密存储,使用凭据时,将通过 TLS 安全传输到服务器本地。 应用层凭据轮换
用户可通过凭据管理系统按周期更新敏感凭据内容,依赖该凭据的所有应用点将自动完成同步,安全实现凭据轮换管理,同时确保依赖该凭据业务的连续性。
存储多类型凭据
通过 Name-Value 的方式存储多种类型数据,Value 部分最大支持4096字节,例如数据库凭据、账号密码及 IP 端口等。
资源级访问授权
凭据管理系统与腾讯云 访问管理(CAM)集成,通过身份管理和策略管理方式确保只有授权用户可以访问或修改凭据,并可以将这些策略附加到用户或角色,指定这些用户或角色可以访问哪些凭据。 精细化监管审计
凭据管理系统与腾讯 云审计(CloudAudit)结合,支持对用户的腾讯云账号进行监管、合规性检查、操作审核和风险审核等,同时可记录凭据管理操作和凭据使用情况。 高可用容灾备份
凭据管理系统架构采用集群化部署方式,通过分布式数据库存储系统实现数据固化与容灾备份,实现业务侧的跨区域容灾。
安全合规性说明
凭据管理系统与密钥管理系统(KMS)相关联,密钥管理系统底层使用经过第三方认证的硬件安全模块(HSM)来生成和保护密钥,符合监管和合规要求。
自动凭据轮换
目前云上产品的账号密码面临管理权限失当、账号密码长时间不变更、配置中的密钥信息是明文等问题,导致数字资产损失。
针对于这些风险,数据库凭据对凭据进行定期轮换,自动创建高强度密码和管理敏感配置信息,在降低账号的风险与安全威胁时,也能提高业务数据的安全性。