Alternar segredos do AWS Secrets Manager - AWS Secrets Manager
Como o funciona a alternância

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Alternar segredos do AWS Secrets Manager

Alternância é o processo de atualizar periodicamente um segredo. Quando o Secrets Manager alterna um segredo, ele atualiza as credenciais tanto no segredo quanto no banco de dados ou serviço. No Secrets Manager, você pode configurar alternância automática para seus segredos.

Tópicos

Como o funciona a alternância

dica

Para alguns Segredos gerenciados por outros serviços, você usa alternância gerenciada. Para usar Alternância gerenciada, primeiro você cria o segredo por meio do serviço de gerenciamento.

A rotação do Secrets Manager usa uma AWS Lambda função para atualizar o segredo e o banco de dados ou serviço. Para obter mais informações sobre os custos do uso de uma função do Lambda, consulte Definição de preço.

Para alternar um segredo, o Secrets Manager chama uma função do Lambda de acordo com a programação que você configurou. Você pode definir um cronograma para alternar após um período de tempo, por exemplo, a cada 30 dias, ou criar uma expressão cron. Consulte Programar expressões. Se você também atualizar manualmente seu valor secreto enquanto a alternância automática estiver configurada, o Secrets Manager considerará essa alternância válida ao calcular a próxima data de alternância.

Por motivos de segurança, o Secrets Manager só permite que uma função de alternância do Lambda alterne o segredo diretamente. A função de alternância não pode chamar uma segunda função do Lambda para alternar o segredo.

O Secrets Manager usa rótulos de preparação prévia para rotular as versões de um segredo durante a alternância. Durante a alternância, o Secrets Manager chama a mesma função várias vezes, cada vez com parâmetros diferentes. O Secrets Manager invoca a função com a seguinte estrutura de parâmetros de solicitação JSON: 

{
    "Step" : "request.type",
    "SecretId" : "string",
    "ClientRequestToken" : "string"
}

A função de alternância faz o trabalho de alternar o segredo. Existem quatro etapas para alternar um segredo, as quais correspondem às quatro etapas a seguir na função de alternância do Lambda:

  1. Criação de uma nova versão do segredo (createSecret)

    A primeira etapa da alternância é criar uma nova versão do segredo. Nos modelos de alternância do banco de dados fornecidos pelo Secrets Manager, a função de alternância do Lambda gera uma senha de 32 caracteres para a nova versão. A nova versão pode conter uma nova senha, um novo nome de usuário e senha ou mais informações sobre os segredos. A função de alternância do Lambda rotula a nova versão como AWSPENDING.

  2. Mude as credenciais no banco de dados ou serviço (setSecret)

    Em seguida, a função de alternância do Lambda alterará as credenciais no banco de dados ou serviço para que correspondam às novas credenciais na versão AWSPENDING do segredo. Dependendo da sua estratégia de alternância, essa etapa pode criar um novo usuário com as mesmas permissões que o usuário existente.

    As funções de rodízio do Amazon RDS (exceto Oracle e Db2) e o Amazon DocumentDB usam automaticamente o Secure Socket Layer (SSL) ou o Transport Layer Security (TLS) para se conectar ao seu banco de dados, se ele estiver disponível. Caso contrário, utilizarão uma conexão não criptografada.

    nota

    Se você configurou a alternância automática de segredos antes de 20 de dezembro de 2021, a sua função de alternância pode ser baseada em um modelo mais antigo que é incompatível com SSL/TLS. Consulte Determine when your rotation function was created (Determine quando a sua função de alternância foi criada). Se tiver sido criada antes de 20 de dezembro de 2021, para oferecer suporte a conexões que usam SSL/TLS, você precisará recriar a sua função de alternância.

  3. Teste da nova versão do segredo (testSecret)

    Em seguida, a função de alternância do Lambda testará a versão AWSPENDING do segredo usando-a para acessar o banco de dados ou serviço. As funções de alternância baseadas em Modelos de função de alternância testam o novo segredo usando o acesso de leitura. Dependendo do tipo de acesso de que as aplicações precisam, você pode atualizar a função para incluir outros acessos, como acesso de gravação.

  4. Conclusão da alternância (finishSecret)

    Por fim, a função de alternância do Lambda move o rótulo AWSCURRENT da versão anterior do segredo para a atual, o que também remove o rótulo AWSPENDING na mesma chamada de API. Não é recomendável remover o AWSPENDING antes desse ponto, e você não deve removê-la por meio de uma chamada de API distinta. Isso pode indicar ao Secrets Manager que a alternância não foi concluída com êxito. O Secrets Manager adiciona o rótulo de preparação prévia AWSPREVIOUS na versão anterior, para que você retenha a última versão boa conhecida do segredo.

Durante a alternância, o Secrets Manager registra eventos de logs que indicam o estado de alternância. Para ter mais informações, consulte Registrar eventos do AWS Secrets Manager em log com o AWS CloudTrail.

Se alguma etapa de alternância falhar, o Secrets Manager tentará novamente todo o processo de alternância várias vezes.

Quando a alternância for bem-sucedida, talvez o rótulo de preparação de AWSPENDING seja anexado à mesma versão da versão AWSCURRENT ou talvez não seja anexado a nenhuma versão. Se o rótulo de preparação de AWSPENDING estiver presente, mas não estiver anexado à mesma versão de AWSCURRENT, qualquer invocação posterior de alternância vai pressupor que uma solicitação de alternância anterior ainda está em andamento e retornará um erro. Quando a alternância não for bem-sucedida, o rótulo de preparação de AWSPENDING poderá ser anexado a uma versão vazia de segredo. Para ter mais informações, consulte Solução de problemas de alternância do .

Após a alternância, as aplicações que Recuperar segredos do AWS Secrets Manager do Secrets Manager obtêm automaticamente as credenciais atualizadas após a alternância. Para obter mais detalhes sobre como cada etapa de alternância funciona, consulte AWS Secrets Manager modelos de função de rotação.