AWS Secrets Manager 与 Parameter Store 选型指南

一句话结论

• 有人/系统在定期轮换密钥（RDS 密码、API Key）→ Secrets Manager
• 静态配置、只需要安全存储（第三方 API Key、共享 Secret、配置项）→ Parameter Store
• 免费、配置项体积小（< 8KB、无轮换需求）→ Parameter Store 标准参数
• 跨账号共享（需要资源策略）→ Secrets Manager 或 Parameter Store 高级参数

详细对比

维度	Secrets Manager	Parameter Store 高级参数	Parameter Store 标准参数
价格	$0.40/secret/月 + $0.05/万次 API	$0.05/parameter/月 + $0.05/万次 API	免费
最大值	64 KB	8 KB	8 KB
自动轮换	支持（内置 Lambda 模板）	不支持，需自行实现	不支持
跨账号资源策略	支持	支持	不支持
CloudFormation 动态引用	resolve:secretsmanager:	resolve:ssm:（高级参数）	不支持
KMS 加密	默认 AWS 托管 key，可选自定义	可选自定义 KMS key	默认不加密（可配）
标签/层级	标签	标签 + 路径层级	标签 + 路径层级
版本管理	暂存标签（AWSCURRENT, AWSPREVIOUS）	版本号	版本号
审计集成	CloudTrail 记录所有操作	CloudTrail 记录 API 调用	CloudTrail 记录 API 调用
事件通知	EventBridge 支持变更事件	EventBridge 支持变更事件	EventBridge 支持变更事件

典型场景速查表

场景	推荐方案	理由
RDS/Redshift 数据库密码	Secrets Manager	自动轮换密码，无需改代码
OAuth Client Secret / API Key	Parameter Store 高级参数	静态配置，安全存储即可
第三方服务 Token（需定期刷新）	Secrets Manager	需要自动轮换
环境配置项（数据库地址、端口）	Parameter Store 标准参数	免费，无敏感度
TLS 证书（< 8KB）	Parameter Store 高级参数	只需存，不需要轮换
TLS 证书（> 8KB）	Secrets Manager	支持 64KB
SSH 密钥对	Secrets Manager	体积通常超 8KB
跨账号共享配置	Secrets Manager 或 Parameter Store 高级参数	都需要资源策略
CI/CD 临时构建参数	Parameter Store 标准参数	免费，用完即弃

费用示例

以一个月 1,000 次读写 API 调用计算：

服务	1 个条目	10 个条目	50 个条目
Secrets Manager	~$0.90/月	~$4.50/月	~$20.50/月
Parameter Store 高级	~$0.55/月	~$0.55/月	~$3.05/月
Parameter Store 标准	免费	免费	免费

Secrets Manager 按条目数收费，参数多了差距明显。

最佳实践

1. 敏感的配置项（数据库密码、API Key）— 优先考虑 Parameter Store，只有需要自动轮换时才升级到 Secrets Manager
2. 轮换不依赖 Lambda — Secrets Manager 的自动轮换靠 Lambda 模板实现，本质上就是一个轮换脚本的托管编排。如果你已经有 CI/CD 或定时的轮换脚本，Parameter Store 配合脚本一样能实现
3. 别混用 — 同类型敏感信息统一用一个服务，避免团队需要在两个控制台之间来回切
4. 大小限制 — 配置内容超过 8KB 直接选 Secrets Manager，Parameter Store 装不下

总结

需要自动轮换 → Secrets Manager
只需要安全存放 → Parameter Store 高级参数
完全不敏感 → Parameter Store 标准参数（免费）

没有轮换需求就先用 Parameter Store 高级参数，等有轮换需求再迁到 Secrets Manager，两者切换成本不高。