Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Wird verwendet AWS Lambda , um Geheimnisse zu rotieren
Das AWS Well-Architected Framework empfiehlt, dass Sie Geheimnisse sicher speichern und verwenden. Diese bewährte Methode empfiehlt, die Rotation von Anmeldeinformationen in regelmäßigen Abständen zu automatisieren. Die Rotation ist der Prozess, bei dem Sie das Secret in regelmäßigen Abständen aktualisieren. So erschweren Sie einem Angreifer den Zugriff auf die Anmeldeinformationen. Viele Compliance-Frameworks und Vorschriften verlangen außerdem, dass Sie geheime Daten austauschen müssen.
Für Terraform IaC können Sie die automatische Rotation verwenden AWS Secrets Manager und AWS Lambdaeinrichten. Im Secrets Manager können Sie die automatische Rotation für Ihre Secrets einrichten. Wenn Secrets Manager ein Secret rotiert, werden die Anmeldeinformationen sowohl im Secret als auch in der Datenbank oder im Dienst aktualisiert.
Für Datenbanken empfehlen wir, dass Sie die primären Anmeldeinformationen in Secrets Manager verwalten und die Secrets in regelmäßigen Abständen rotieren. Secrets Manager bietet Rotationsfunktionsvorlagen für Lambda für verschiedene Arten von Datenbankanmeldedaten. Weitere Informationen finden Sie unter Vorlagen für AWS Secrets Manager
Rotationsfunktionen in der Secrets Manager Manager-Dokumentation und in den Codebeispielen
resource "aws_secretsmanager_secret_rotation" "createrotation" { count = var.needrotation == true ? 1 : 0 secret_id = aws_secretsmanager_secret.initiatesecret.id rotation_lambda_arn = aws_lambda_function.rotationlambda.arn rotation_rules { automatically_after_days = 1 } }
Das folgende Architekturdiagramm zeigt, wie Sie Secrets Manager, einen Amazon VPC-Endpunkt und eine Lambda-Funktion verwenden können, um sensible Daten in einem zu rotieren. AWS-Konto
