后量子 TLS

Secrets Manager 支持对传输层安全 (TLS) 网络加密协议使用混合后量子密钥交换选项。当您连接到 Secrets Manager API 终端节点时，可以使用此 TLS 选项。我们在标准化后量子算法之前提供了此功能，因此您可以开始测试这些密钥交换协议对 Secrets Manager 调用产生的影响。这些混合后量子密钥交换功能是可选的，至少与我们目前使用的 TLS 加密一样安全，并且有可能会提供额外的安全优势。不过，与目前使用的传统密钥交换协议相比，它们会影响延迟和吞吐量性能。

为了保护今天加密的数据，让这些数据在未来免受可能的攻击，AWS 正在积极参与密码社区，一起开发抗量子密码算法或后量子算法。我们已经在 Secrets Manager 端点中实施了混合后量子密钥交换密码套件。这些混合密码套件将传统加密算法与后量子算法相结合，可确保 TLS 连接至少与传统密码套件一样强大。不过，由于混合密码套件的性能特征及带宽要求与传统密钥交换机制的性能特征及带宽要求有所不同，我们建议您针对 API 调用开展测试。

Secrets Manager 在除中国区域之外的所有区域都支持 PQTLS。

配置混合后量子 TLS

将 AWS 公共运行时客户端添加到您的 Maven 依赖项中。我们建议您使用最新可用版本。例如，以下语句将添加版本 2.20.0。
```
<dependency>
  <groupId>software.amazon.awssdk</groupId>
  <artifactId>aws-crt-client</artifactId>
  <version>2.20.0</version>
</dependency>
```

将 AWS SDK for Java 2.x 添加到项目并对其进行初始化。在 HTTP 客户端上启用混合后量子密码套件。


SdkAsyncHttpClient awsCrtHttpClient = AwsCrtAsyncHttpClient.builder()
            .postQuantumTlsEnabled(true)
            .build();

创建 Secrets Manager 异步客户端。
```
SecretsManagerAsyncClient SecretsManagerAsync = SecretsManagerAsyncClient.builder()
            .httpClient(awsCrtHttpClient)
            .build();
```
现在，当您调用 Secrets Manager API 操作时，您的调用将通过混合后量子 TLS 传输到 Secrets Manager 端点。

有关使用混合后量子 TLS 的更多信息，请参阅：

AWS SDK for Java 2.x 开发人员指南和AWS SDK for Java 2.x 已发布博客帖子。
s2n-tls 简介，新的开源 TLS 实施和使用 s2n-tls。
美国国家标准和技术研究院 (NIST) 的后量子密码学。
适合传输层安全 1.2 (TLS) 的混合后量子密钥封装方法 (PQ KEM)。

Secrets Manager 的后量子 TLS 在所有 AWS 区域中都可用，但中国除外。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

弹性

问题排查