本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 保护Terraform状态文件中的敏感数据 本节讨论混淆机密和指针,以处理名为的Terraform状态文件中的敏感数据。`tfstate`通常,这是一个纯文本文件,其中包含有关Terraform部署的数据,还包括有关已部署基础架构的所有敏感和非敏感数据。敏感数据在Terraform状态文件中以纯文本形式可见。要帮助保护敏感数据,请执行以下操作: + 摄取密钥时,请选择立即轮换密钥。有关更多信息,请参阅 [S AWS Secrets Manager ecrets Manager 文档中的立即轮换](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotate-secrets_now.html)密钥。 + 将Terraform状态文件存储在您操作 Secrets Manager 的集中 AWS 账户 位置。将文件存储在亚马逊简单存储服务 (Amazon S3) 存储桶中,并配置限制访问该文件的策略。有关更多信息,请参阅 Amazon S3 文档中的[存储桶策略和用户策略](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-iam-policies.html)。 + 您可以锁定Terraform状态以帮助防止损坏。有关锁定状态和保护状态文件的更多信息,请参阅Terraform文档[中的 Amazon S3 后端](https://developer.hashicorp.com/terraform/language/settings/backends/s3)。