Rotação gerenciada para AWS Secrets Manager segredos

Alguns serviços oferecem alternância gerenciada, na qual o serviço configura e gerencia a alternância para você. Com a rotação gerenciada, você não usa uma AWS Lambda função para atualizar o segredo e as credenciais no banco de dados.

Os seguintes serviços oferecem alternância gerenciada:

O Amazon Aurora oferece rotação gerenciada para credenciais de usuário mestre. Para obter mais informações, consulte Gerenciamento de senhas com Amazon Aurora e o AWS Secrets Manager no Guia do usuário do Amazon Aurora.
O Amazon ECS Service Connect oferece rotação gerenciada para certificados AWS Private Certificate Authority TLS. Para obter mais informações, consulte TLS with Service Connect no Amazon Elastic Container Service Developer Guide.
O Amazon RDS oferece rotação gerenciada para credenciais de usuário mestre. Para obter mais informações, consulte Gerenciamento de senhas com Amazon RDS e o AWS Secrets Manager no Guia do usuário do Amazon RDS.
O Amazon Redshift oferece rotação gerenciada para senhas de administrador. Para obter mais informações, consulte Gerenciamento de senhas de administrador do Amazon Redshift usando o Guia de gerenciamento AWS Secrets Manager de clusters do Amazon Redshift.

dica

Para todos os outros tipos de segredos, consulte Rotação por função Lambda.

A rotação de segredos gerenciados normalmente é concluída em um minuto. Durante a rotação, novas conexões que recuperam o segredo podem obter a versão anterior das credenciais. Em aplicações, é altamente recomendado que você siga a prática recomendada de utilizar um usuário de banco de dados criado com os privilégios mínimos necessários para sua aplicação, em vez de usar o usuário principal. Para usuários de aplicativos, para maior disponibilidade, você pode usar a Estratégia de rotação de usuários alternados.

Para alterar a programação da rotação gerenciada

Abra o segredo gerenciado no console do Secrets Manager. Você pode seguir um link do serviço de gerenciamento ou pesquisar o segredo no console do Secrets Manager.
Em Rotation schedule (Programação da alternância), insira sua programação no fuso horário UTC no Schedule expression builder (Desenvolvedor de expressão programada) ou como uma Schedule expression (Expressão programada). O Secrets Manager armazena sua programação como uma expressão rate() ou cron(). A janela de alternância começa automaticamente à 0h, a menos que você especifique um horário de início. Você pode alternar um segredo com intervalos a partir de quatro horas. Para ter mais informações, consulte Cronogramas de rotação.
(Opcional) Em Window duration (Duração da janela), escolha a duração da janela em que deseja que o Secrets Manager alterne o seu segredo, por exemplo, 3h, por uma janela de três horas. A janela não pode se estender até a próxima janela de alternância. Se você não especificar Window duration (Duração da janela) para uma programação de alternância em horas, a janela será automaticamente encerrada após uma hora. Para uma programação de alternância em dias, a janela terminará automaticamente no final do dia.
Escolha Salvar.

Para alterar o cronograma de alternância gerenciada (AWS CLI)

Chame rotate-secret. O exemplo a seguir alterna o segredo entre 16h e 18h UTC no 1.º e no 15.º dias do mês. Para ter mais informações, consulte Cronogramas de rotação.
```
aws secretsmanager rotate-secret \
    --secret-id MySecret \
    --rotation-rules "{\"ScheduleExpression\": \"cron(0 16 1,15 * ? *)\", \"Duration\": \"2h\"}"
```

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Alternar segredos

Rotação por função Lambda