Alternância gerenciada para segredos do AWS Secrets Manager - AWS Secrets Manager

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Alternância gerenciada para segredos do AWS Secrets Manager

Alguns serviços oferecem alternância gerenciada, na qual o serviço configura e gerencia a alternância para você. Com a alternância gerenciada, você não usa uma função do AWS Lambda para atualizar o segredo e as credenciais no banco de dados.

Os seguintes serviços oferecem alternância gerenciada:

dica

Para todos os outros tipos de segredos, consulte Função do Lambda de alternância.

A rotação de segredos gerenciados normalmente é concluída em um minuto. Durante a rotação, novas conexões que recuperam o segredo podem obter a versão anterior das credenciais. Em aplicações, é altamente recomendado que você siga a prática recomendada de utilizar um usuário de banco de dados criado com os privilégios mínimos necessários para sua aplicação, em vez de usar o usuário principal. Para usuários de aplicativos, para maior disponibilidade, você pode usar a Estratégia de rotação de usuários alternados.

Para alterar a programação de alternância gerenciada
  1. Abra o segredo gerenciado no console do Secrets Manager. Você pode seguir um link do serviço de gerenciamento ou pesquisar o segredo no console do Secrets Manager.

  2. Em Rotation schedule (Programação da alternância), insira sua programação no fuso horário UTC no Schedule expression builder (Desenvolvedor de expressão programada) ou como uma Schedule expression (Expressão programada). O Secrets Manager armazena sua programação como uma expressão rate() ou cron(). A janela de alternância começa automaticamente à 0h, a menos que você especifique um horário de início. Você pode alternar um segredo com intervalos a partir de quatro horas. Para ter mais informações, consulte Programação de alternância.

  3. (Opcional) Em Window duration (Duração da janela), escolha a duração da janela em que deseja que o Secrets Manager alterne o seu segredo, por exemplo, 3h, por uma janela de três horas. A janela não pode se estender até a próxima janela de alternância. Se você não especificar Window duration (Duração da janela) para uma programação de alternância em horas, a janela será automaticamente encerrada após uma hora. Para uma programação de alternância em dias, a janela terminará automaticamente no final do dia.

  4. Escolha Salvar.

Para alterar o cronograma de alternância gerenciada (AWS CLI)
  • Chame rotate-secret. O exemplo a seguir alterna o segredo entre 16h e 18h UTC no 1.º e no 15.º dias do mês. Para ter mais informações, consulte Programação de alternância.

    aws secretsmanager rotate-secret \ --secret-id MySecret \ --rotation-rules "{\"ScheduleExpression\": \"cron(0 16 1,15 * ? *)\", \"Duration\": \"2h\"}"