secrets-management

密钥管理技能为软件交付流水线中的敏感信息（如 API 密钥、数据库密码和 TLS 证书）提供了结构化的管理框架。本技能专为 DevOps 工程师、平台架构师与开发人员设计，旨在协助用户从不安全的回写式凭证（硬编码）转向集中化、动态的密钥管理架构。通过整合 HashiCorp Vault、AWS Secrets Manager、Azure Key Vault 与 Google Secret Manager 等工具，本技能确保密钥在加密、审计与自动轮替过程中无需人工干预。它引导用户在 GitHub Actions 与 GitLab CI 等 CI/CD 平台中实施自动化密钥获取，并推广基础设施即代码（IaC）部署中的安全优先实务。

• 支持多云与跨平台密钥存储，包括 HashiCorp Vault、AWS Secrets Manager、Azure Key Vault 与 GCP Secret Manager。

• 提供密钥自动轮替模式与最佳实践，以降低凭证泄露后的潜在影响范围。

• 提供将动态密钥注入整合至 CI/CD 工作流程的配置指南，特别针对 GitHub Actions、GitLab CI 与 Terraform。

• 通过最小权限访问、审计记录以及利用 TruffleHog 与 GitGuardian 等工具进行自动化密钥扫描来强化安全性。

• 处理 Kubernetes 特定整合，包括使用 External Secrets Operator (ESO) 将云服务提供商密钥同步至集群原生资源。

• 本技能专注于安全环境变量管理，强调使用掩码输出并避免在日志中显示明文内容。

• 适用于安全流水线开发；用户应提供目标基础设施（如 AWS、GCP、Azure）及当前的密钥生命周期需求。

• 预期输出包含配置模板、环境配置脚本以及密钥注入的架构建议。

• 限制：实施推荐的安全控制措施时，需要拥有云端 IAM 或 Vault 服务器管理界面的权限。

• 用户应随时验证密钥过期策略并监控审计记录，以维护持续的合规性与安全性完整性。