主要观点：HashiCorp 于 2025 年 7 月 31 日宣布 HCP Terraform 支持 Hold Your Own Key (HYOK)，此功能让客户能掌控用于保护敏感 Terraform 工件（如状态和计划文件）的加密密钥，解决了默认加密后仍被平台管理密钥系统访问的问题，通过在客户网络内加密且使用客户控制的密钥库等，确保明文秘密不通过 HashiCorp 基础设施传输，满足合规和数据主权要求。
关键信息：

• 2025 年 7 月 31 日 HCP Terraform 推出 HYOK 支持。
• Terraform 工件含敏感信息，HYOK 加密在工件离开客户网络前。
• HYOK 工作流涉及客户网络内的轻量级代理，通过 OIDC 获取令牌等加密工件。
• 多家公司有类似客户管理加密密钥模型，实现方式因平台架构和合规目标而异。
• HashiCorp 的 HCP Terraform HYOK 专注于 Terraform 状态和计划文件，支持多云 KMS 系统。
• HYOK 目前对高级 HCP Terraform 客户可用。
  重要细节：
• 德银的 Florin Lungu 称 HYOK 可让客户更好控制 Terraform 工件中的秘密访问，增强安全和合规性。
• Azure 的 CMEK 可在 Azure Key Vault 存储密钥，通过 Azure Active Directory 控制访问，政府和金融机构常用。
• AWS 的 KMS External Key Store 可让组织在 AWS 基础设施外存储密钥，金融和医疗客户常用。
• Google Cloud 的 External Key Manager 可在外部进行加密操作，满足严格监管环境要求。
• Salesforce Shield 提供 HYOK 能力，客户在 Salesforce 或第三方 HSM 中管理密钥。
• HashiCorp 的 HCP Terraform HYOK 与其他厂商不同，专注于 Terraform 工件，支持多云。