在日常运维中,很多服务都依赖密钥进行身份验证,比如数据库连接、API 接口调用、云服务器登录等。长期使用同一组密钥,一旦泄露,风险极高。定期更换密钥,也就是“密钥轮换”,是降低安全风险的基本操作。
为什么要做密钥轮换
想象一下你家的钥匙借给了保洁阿姨,虽然信任她,但如果她离职后钥匙没收回,隐患就留下了。数字世界的密钥也一样。即使没有明确泄露证据,定期更换能有效减少攻击窗口。特别是涉及敏感数据或高权限操作的服务,自动化的密钥轮换几乎是标配。
以 AWS IAM 密钥为例的操作步骤
AWS 的访问密钥(Access Key 和 Secret Key)常用于程序调用云资源。长期不换,容易被滥用。进入 AWS 控制台,找到“IAM”服务,选择对应的用户,进入“安全凭证”标签页。
点击“创建访问密钥”,系统会生成一组新的密钥。记得立即下载或复制,因为关闭页面后 Secret Key 就再也看不到了。
接下来,在你的应用配置中替换旧密钥。比如你有个 Python 脚本使用 boto3:
import boto3
client = boto3.client(
's3',
aws_access_key_id='YOUR_NEW_ACCESS_KEY',
aws_secret_access_key='YOUR_NEW_SECRET_KEY'
)更新完成后,运行测试确保功能正常。确认无误后,回到 IAM 页面,将旧密钥标记为“停用”或直接删除。不要一次性删掉旧密钥,避免服务中断。
使用环境变量管理密钥
硬编码密钥在代码里非常危险,推荐通过环境变量传入。例如在 Linux 服务器上,可以编辑 ~/.bashrc 或应用的启动脚本:
export AWS_ACCESS_KEY_ID=AKIAxxxxxxxxxxxxxx
export AWS_SECRET_ACCESS_KEY=xxxxxxxxxxxxxxxxxxxx然后在代码中读取:
import os
access_key = os.getenv('AWS_ACCESS_KEY_ID')
secret_key = os.getenv('AWS_SECRET_ACCESS_KEY')这样更换密钥时,只需修改环境变量,无需改动代码。
自动化轮换策略
对于支持自动轮换的服务,比如 AWS Secrets Manager,可以直接设置轮换周期。创建一个 RDS 数据库密码,关联 Secrets Manager,设定 30 天自动轮换。系统会按时生成新密码,并更新数据库和相关配置。
配置过程需要指定 Lambda 函数来执行实际的更改操作,AWS 提供了模板函数,选择后按提示授权即可。
本地 SSH 密钥轮换
SSH 登录服务器也常用密钥对。如果你一直用同一对 id_rsa,建议定期更换。在本地终端执行:
ssh-keygen -t rsa -b 4096 -C "your_email@example.com"生成新密钥后,把公钥(.pub 文件内容)添加到目标服务器的 ~/.ssh/authorized_keys 中。测试新密钥能正常登录后,再删除旧公钥。
私钥文件要妥善保管,最好设置密码保护。不要把私钥上传到 Git 仓库,哪怕只是临时测试。
轮换中的注意事项
别在半夜上线关键变更。选个业务低峰期操作,留出排查时间。每次轮换后检查日志,确认服务没有因认证失败报错。如果用了多个环境(测试、预发、生产),按顺序逐一更新,避免混乱。
团队协作时,密钥变更要及时通知相关人员。可以用内部文档记录轮换时间表,比如 Google Sheets 表格,标注下次轮换日期,避免遗忘。