AWS Secrets Manager modelos de função de rotação

Para usar os modelos, consulte:

• Rodízio de credenciais do Amazon RDS, do Amazon Aurora, do Amazon Redshift e do Amazon DocumentDB

• Outros tipos de credenciais (instruções do console)

• Outros tipos de credenciais (AWS CLI instruções)

Os modelos suportam o Python 3.9.

Para escrever sua própria função de rotação, consulte Escrever uma função de rotação.

Amazon RDS e Amazon Aurora

Tópicos

• Usuário único do Db2 do Amazon RDS
• Usuários em alternância do Db2 do Amazon RDS
• Usuário único do MariaDB do Amazon RDS
• Usuários alternados do MariaDB do Amazon RDS
• Usuário único do Amazon RDS e do Amazon Aurora MySQL
• Usuários em alternância do Amazon RDS e do Amazon Aurora MySQL
• Usuário único do Oracle do Amazon RDS
• Usuários alternados do Oracle do Amazon RDS
• Usuário único do Amazon RDS e do Amazon Aurora PostgreSQL
• Usuários em alternância do Amazon RDS e do Amazon Aurora PostgreSQL
• Usuário único do Microsoft SQLServer do Amazon RDS
• Usuários alternados do Microsoft SQLServer do Amazon RDS

Usuário único do Db2 do Amazon RDS

• Nome do modelo: SecretsManager RDSdb2 RotationSingleUser

• Estratégia de alternância: Estratégia de alternância: usuário único.

• Estrutura da SecretString: Estrutura de segredos do Db2 do Amazon RDS.

• Código fonte: https://github.com/aws-samples/ aws-secrets-manager-rotation -lambdas/tree/master/ RdsDb2 /lambda_function.py SecretsManager RotationSingleUser

• Dependência: python-ibmdb

Usuários em alternância do Db2 do Amazon RDS

• Nome do modelo: SecretsManager RDSdb2 RotationMultiUser

• Estratégia de alternância: Estratégia de alternância: usuários alternados.

• Estrutura da SecretString: Estrutura de segredos do Db2 do Amazon RDS.

• Código fonte: https://github.com/aws-samples/ aws-secrets-manager-rotation -lambdas/tree/master/ RdsDb2 /lambda_function.py SecretsManager RotationMultiUser

• Dependência: python-ibmdb

Usuário único do MariaDB do Amazon RDS

• Nome do modelo: SecretsManager RDSMariaDB RotationSingleUser

• Estratégia de alternância: Estratégia de alternância: usuário único.

• Estrutura da SecretString: Estrutura do segredo MariaDB do Amazon RDS.

• Código fonte: https://github.com/aws-samples/ aws-secrets-manager-rotation -lambdas/tree/master/ RDSMariaDB /lambda_function.py SecretsManager RotationSingleUser

• Dependência: PyMy SQL 1.0.2

Usuários alternados do MariaDB do Amazon RDS

• Nome do modelo: SecretsManager RDSMariaDB RotationMultiUser

• Estratégia de alternância: Estratégia de alternância: usuários alternados.

• Estrutura da SecretString: Estrutura do segredo MariaDB do Amazon RDS.

• Código fonte: https://github.com/aws-samples/ aws-secrets-manager-rotation -lambdas/tree/master/ RDSMariaDB /lambda_function.py SecretsManager RotationMultiUser

• Dependência: PyMy SQL 1.0.2

Usuário único do Amazon RDS e do Amazon Aurora MySQL

• Nome do modelo: SecretsManager RDSMySQL RotationSingleUser

• Estratégia de alternância: Estratégia de alternância: usuário único.

• Estrutura esperada da SecretString: Estrutura de segredos do Amazon RDS e do Amazon Aurora MySQL.

• Código fonte: https://github.com/aws-samples/ aws-secrets-manager-rotation -lambdas/tree/master/ RDSMySQL /lambda_function.py SecretsManager RotationSingleUser

• Dependência: PyMy SQL 1.0.2

Usuários em alternância do Amazon RDS e do Amazon Aurora MySQL

• Nome do modelo: SecretsManager RDSMySQL RotationMultiUser

• Estratégia de alternância: Estratégia de alternância: usuários alternados.

• Estrutura esperada da SecretString: Estrutura de segredos do Amazon RDS e do Amazon Aurora MySQL.

• Código fonte: https://github.com/aws-samples/ aws-secrets-manager-rotation -lambdas/tree/master/ RDSMySQL /lambda_function.py SecretsManager RotationMultiUser

• Dependência: PyMy SQL 1.0.2

Usuário único do Oracle do Amazon RDS

• Nome do modelo: SecretsManager RDS OracleRotationSingleUser

• Estratégia de alternância: Estratégia de alternância: usuário único.

• Estrutura esperada da SecretString: Estrutura do segredo do Oracle do Amazon RDS.

• Código fonte: https://github.com/aws-samples/ aws-secrets-manager-rotation SecretsManager -lambdas/tree/master/ RDS /lambda_function.py OracleRotationSingleUser

• Dependência: python-oracledb 2.0.1

Usuários alternados do Oracle do Amazon RDS

• Nome do modelo: SecretsManager RDS OracleRotationMultiUser

• Estratégia de alternância: Estratégia de alternância: usuários alternados.

• Estrutura esperada da SecretString: Estrutura do segredo do Oracle do Amazon RDS.

• Código fonte: https://github.com/aws-samples/ aws-secrets-manager-rotation SecretsManager -lambdas/tree/master/ RDS /lambda_function.py OracleRotationMultiUser

• Dependência: python-oracledb 2.0.1

Usuário único do Amazon RDS e do Amazon Aurora PostgreSQL

• Nome do modelo: SecretsManager RDSPostgreSQL RotationSingleUser

• Estratégia de alternância: Estratégia de alternância: usuário único.

• Estrutura esperada da SecretString: Estrutura de segredos do Amazon RDS e do Amazon Aurora PostgreSQL.

• Código fonte: https://github.com/aws-samples/ aws-secrets-manager-rotation -lambdas/tree/master/ RDSPostgreSQL /lambda_function.py SecretsManager RotationSingleUser

• Dependência: PyGre SQL 5.0.7

Usuários em alternância do Amazon RDS e do Amazon Aurora PostgreSQL

• Nome do modelo: SecretsManager RDSPostgreSQL RotationMultiUser

• Estratégia de alternância: Estratégia de alternância: usuários alternados.

• Estrutura esperada da SecretString: Estrutura de segredos do Amazon RDS e do Amazon Aurora PostgreSQL.

• Código fonte: https://github.com/aws-samples/ aws-secrets-manager-rotation -lambdas/tree/master/ RDSPostgreSQL /lambda_function.py SecretsManager RotationMultiUser

• Dependência: PyGre SQL 5.0.7

Usuário único do Microsoft SQLServer do Amazon RDS

• Nome do modelo: SecretsManager RDSSQL ServerRotationSingleUser

• Estratégia de alternância: Estratégia de alternância: usuário único.

• Estrutura esperada da SecretString: Estrutura do segredo do Microsoft SQLServer do Amazon RDS.

• Código fonte: https://github.com/aws-samples/ aws-secrets-manager-rotation -lambdas/tree/master/ RDSSQL /lambda_function.py SecretsManager ServerRotationSingleUser

• Dependência: Pymssql 2.2.2

Usuários alternados do Microsoft SQLServer do Amazon RDS

• Nome do modelo: SecretsManager RDSSQL ServerRotationMultiUser

• Estratégia de alternância: Estratégia de alternância: usuários alternados.

• Estrutura esperada da SecretString: Estrutura do segredo do Microsoft SQLServer do Amazon RDS.

• Código fonte: https://github.com/aws-samples/ aws-secrets-manager-rotation -lambdas/tree/master/ RDSSQL /lambda_function.py SecretsManager ServerRotationMultiUser

• Dependência: Pymssql 2.2.2

Amazon DocumentDB (compatível com MongoDB)

Usuário único do Amazon DocumentDB

• Nome do modelo: SecretsManagerMongo DB RotationSingleUser

• Estratégia de alternância: Estratégia de alternância: usuário único.

• Estrutura esperada da SecretString: Estrutura do segredo do Amazon DocumentDB.

• Código-fonte: https://github.com/aws-samples/ aws-secrets-manager-rotation SecretsManagerMongo -lambdas/tree/master/ DB /lambda_function.py RotationSingleUser

• Dependência: Pymongo 3.2

Usuários alternados do Amazon DocumentDB

• Nome do modelo: SecretsManagerMongo DB RotationMultiUser

• Estratégia de alternância: Estratégia de alternância: usuários alternados.

• Estrutura esperada da SecretString: Estrutura do segredo do Amazon DocumentDB.

• Código-fonte: https://github.com/aws-samples/ aws-secrets-manager-rotation SecretsManagerMongo -lambdas/tree/master/ DB /lambda_function.py RotationMultiUser

• Dependência: Pymongo 3.2

Amazon Redshift

Usuário único do Amazon Redshift

• Nome do modelo: SecretsManagerRedshiftRotationSingleUser

• Estratégia de alternância: Estratégia de alternância: usuário único.

• SecretStringEstrutura esperada: Estrutura do segredo do Amazon Redshift ouEstrutura secreta sem servidor do Amazon Redshift.

• Código fonte: https://github.com/aws-samples/ aws-secrets-manager-rotation SecretsManagerRedshiftRotationSingleUser -lambdas/tree/master/ /lambda_function.py

• Dependência: PyGre SQL 5.0.7

Usuários alternados do Amazon Redshift

• Nome do modelo: SecretsManagerRedshiftRotationMultiUser

• Estratégia de alternância: Estratégia de alternância: usuários alternados.

• SecretStringEstrutura esperada: Estrutura do segredo do Amazon Redshift ouEstrutura secreta sem servidor do Amazon Redshift.

• Código fonte: https://github.com/aws-samples/ aws-secrets-manager-rotation SecretsManagerRedshiftRotationMultiUser -lambdas/tree/master/ /lambda_function.py

• Dependência: PyGre SQL 5.0.7

Amazon ElastiCache

Para usar esse modelo, consulte Rotação automática de senhas para usuários no Guia do ElastiCache usuário da Amazon.

• Nome do modelo: SecretsManagerElasticacheUserRotation

• Estrutura esperada da SecretString: Estrutura ElastiCache secreta da Amazon.

• Código fonte: https://github.com/aws-samples/ aws-secrets-manager-rotation SecretsManagerElasticacheUserRotation -lambdas/tree/master/ /lambda_function.py

Outros tipos de segredo

O Secrets Manager fornece esse modelo como ponto de partida para você criar uma função de alternância para qualquer tipo de segredo.

• Nome do modelo: SecretsManagerRotationTemplate

• Código fonte: https://github.com/aws-samples/ aws-secrets-manager-rotation SecretsManagerRotationTemplate -lambdas/tree/master/ /lambda_function.py

Ao escrever sua função, tenha cuidado quanto à inclusão de instruções de depuração ou registro em log. Essas declarações podem fazer com que as informações em sua função sejam gravadas na Amazon CloudWatch, então você precisa garantir que o registro não inclua nenhuma informação confidencial coletada durante o desenvolvimento.

Por motivos de segurança, o Secrets Manager só permite que uma função de alternância do Lambda alterne o segredo diretamente. A função de alternância não pode chamar uma segunda função do Lambda para alternar o segredo.

Para exemplos de instruções de log, consulte o código-fonte dos AWS Secrets Manager modelos de função de rotação.

Se você usa binários e bibliotecas externos, por exemplo, para se conectar a um recurso, precisará gerenciar a correção e a manutenção deles. up-to-date

Para sugestões de depuração, consulte Testing and debugging serverless applications (Teste e depuração de aplicações com tecnologia sem servidor).

Existem quatro etapas para alternar um segredo, que correspondem aos quatro métodos a seguir de uma função de alternância do Lambda.

Métodos

• create_secret
• set_secret
• test_secret
• finish_secret

create_secret

Em create_secret, você primeiro verifica se existe um segredo chamando get_secret_value com o ClientRequestToken aprovado. Se não houver segredo, você cria um novo segredo com create_secret e o token como VersionId. Em seguida, você pode gerar um novo valor de segredo com get_random_password. Você deve garantir que o novo valor do segredo inclua apenas caracteres válidos para o banco de dados ou serviço. Exclua caracteres usando o parâmetro ExcludeCharacters. Chame put_secret_value para armazená-lo com o rótulo de teste AWSPENDING. Armazenar o novo valor do segredo em AWSPENDING ajuda a garantir a idempotência. Se a alternância falhar por qualquer motivo, você poderá consultar esse valor de segredo em chamadas subsequentes. Consulte How do I make my Lambda function idempotent? (Como torno minha função Lambda idempotente?).

Ao testar sua função, use o AWS CLI para ver os estágios da versão: chame describe-secrete examineVersionIdsToStages.

set_secret

Em set_secret, você altera a credencial no banco de dados ou serviço para corresponder ao novo valor do segredo na versão AWSPENDING do segredo.

Se você transmitir instruções para um serviço que interprete instruções, como um banco de dados, use a parametrização de consulta. Para obter mais informações, consulte Query Parameterization Cheat Sheet (Folha de referência de parametrização para consulta) no site do OWASP.

A função de alternância é um representante privilegiado que tem autorização para acessar e modificar as credenciais do cliente no segredo do Secrets Manager e no recurso de destino. Para evitar um possível ataque “confused deputy”, você precisa garantir que um invasor não possa usar a função para acessar outros recursos. Antes de atualizar a credencial:

• Verifique se a credencial na versão AWSCURRENT do segredo é válida. Se a credencial AWSCURRENT não for válida, abandone a tentativa de alternância.

• Verifique se os valores dos segredos AWSCURRENT e AWSPENDING são para o mesmo recurso. Para obter um nome de usuário e uma senha, verifique se os nomes de usuário AWSCURRENT e AWSPENDING são os mesmos.

• Verifique se o recurso do serviço de destino é o mesmo. Para um banco de dados, verifique se os nomes de host AWSCURRENT e AWSPENDING são os mesmos.

test_secret

Em test_secret, você testa a versão AWSPENDING do segredo usando-a para acessar o banco de dados ou serviço.

finish_secret

Em finish_secret, você usa update_secret_version_stage para mover o rótulo de preparação AWSCURRENT da versão do segredo anterior para a nova versão do segredo. O Secrets Manager adiciona automaticamente o rótulo de preparação AWSPREVIOUS à versão anterior para reter a última versão válida do segredo.