Função do Lambda de alternância - AWS Secrets Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Função do Lambda de alternância

Para muitos tipos de segredos, o Secrets Manager usa uma função AWS Lambda para atualizar o segredo e o banco de dados ou serviço. Para obter mais informações sobre os custos do uso de uma função do Lambda, consulte Definição de preço.

Para alguns Segredos gerenciados por outros serviços, você usa alternância gerenciada. Para usar Alternância gerenciada, primeiro você cria o segredo por meio do serviço de gerenciamento.

Durante a alternância, o Secrets Manager registra eventos de logs que indicam o estado de alternância. Para ter mais informações, consulte Registrar eventos do AWS Secrets Manager em log com o AWS CloudTrail.

Para alternar um segredo, o Secrets Manager chama uma função do Lambda de acordo com a programação de alternância que você configurou. Se você também atualizar manualmente seu valor secreto enquanto a alternância automática estiver configurada, o Secrets Manager considerará essa alternância válida ao calcular a próxima data de alternância.

Durante a alternância, o Secrets Manager chama a mesma função várias vezes, cada vez com parâmetros diferentes. O Secrets Manager invoca a função com a seguinte estrutura de parâmetros de solicitação JSON:

{ "Step" : "request.type", "SecretId" : "string", "ClientRequestToken" : "string", "RotationToken" : "string" }
Parâmetros:
  • Etapa: a etapa de alternância: create_secret, set_secret, test_secret ou finish_secret. Para ter mais informações, consulte Quatro etapas em uma função de alternância.

  • SecretiD: o ARN do segredo a ser alternado.

  • ClientRequestToken: um identificador exclusivo para a nova versão do segredo. Esse valor ajuda a garantir a idempotência. Para obter mais informações, consulte PutSecretValue: ClientRequestToken na Referência de API do AWS Secrets Manager.

  • RotationToken: um identificador exclusivo que indica a origem da solicitação. Para alternância entre contas (quando você alterna um segredo em uma conta usando uma função de alternância do Lambda em outra conta) e a função de alternância assume uma função do IAM para chamar o Secrets Manager, o Secrets Manager valida a identidade com o token de alternância.

Se alguma etapa de alternância falhar, o Secrets Manager tentará novamente todo o processo de alternância várias vezes.