bobv

> 有没有可能 kms 之类的配置写在django 配置，或内置配置表内，一个archery 配置一个，然后数据库中只需勾选是否为 kms 管理用户密码即可。 > > 我理解kms应该是archery有一个access key，然后archery可以正常获取很多db的账号密码了。 AWS 里的Secrets Manager可以理解为一个保存密钥的一个存储。每一项密钥对应着一个secretid, 可以通过secretid获取密钥的信息。密钥是一个字典，可以包含用户名，密码，URL等。访问secrets manager可以通过AKSK进行访问。但如果在AWS VPC内部访问，一般情况下不会直接分配AKSK，而是使用给予对应EC2 Role或者给相应Pod IRSA从而获取相应的访问权限。我提交的PR对应的就是第二种情况不会显式分配AKSK，避免泄漏。 对应于你提到的适配所有云的情况。每一个instance需要确定使用的是哪个云的服务及对应的secrets id, 如果有多个云Account，或者跨云的情况下，确实是需要指定相应的AKSK，这块目前与Archery instance下的aliyun cloud config有点类似，需要指定instance使用的对应的AKSK。