密钥与机密管理（KMS/Vault、轮换、最小权限与审计）

密钥与机密管理（KMS/Vault、轮换、最小权限与审计）概述安全的机密管理是生产系统的底座。使用托管 KMS 与 Vault 降低泄露风险并提升合规性。关键实践与参数存储与访问：机密不入库代码；使用动态短期凭证与密钥别名。轮换策略：定期轮换与灰度过渡；双活密钥与版本管理。最小权限：按角色与环境授予最小访问；细化审计与告警。验证方法演练轮换与撤销；验证服务不中断。审计日志覆盖读取与使用；异常行为告警。静态扫描与运行时探测防止机密输出与误用。注意事项管理备份与恢复；防止密钥丢失导致不可用。供应链与构建阶段也需机密治理；CI/CD 集成。合规条款与地区法规需纳入管理策略。