As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Alternância gerenciada para segredos do AWS Secrets Manager
Alguns serviços oferecem alternância gerenciada, na qual o serviço configura e gerencia a alternância para você. Com a alternância gerenciada, você não usa uma função do AWS Lambda para atualizar o segredo e as credenciais no banco de dados.
Os seguintes serviços oferecem alternância gerenciada:
O Amazon Aurora oferece alternância gerenciada para credenciais de usuário primário. Para obter mais informações, consulte Gerenciamento de senhas com Amazon Aurora e o AWS Secrets Manager no Guia do usuário do Amazon Aurora.
O Amazon ECS Service Connect oferece alternância gerenciada para certificados TLS do AWS Private Certificate Authority. Para obter mais informações, consulte TLS com o Service Connect no Guia do desenvolvedor do serviço Amazon Elastic Container.
O Amazon RDS oferece alternância gerenciada para credenciais de usuário primário. Para obter mais informações, consulte Gerenciamento de senhas com Amazon RDS e o AWS Secrets Manager no Guia do usuário do Amazon RDS.
O Amazon Redshift oferece alternância gerenciada para senhas de administradores. Para obter mais informações, consulte Gerenciamento de senhas de administrador do Amazon Redshift usando o Guia de gerenciamento AWS Secrets Manager de clusters do Amazon Redshift.
dica
Para todos os outros tipos de segredos, consulte Função do Lambda de alternância.
A rotação de segredos gerenciados normalmente é concluída em um minuto. Durante a rotação, novas conexões que recuperam o segredo podem obter a versão anterior das credenciais. Em aplicações, é altamente recomendado que você siga a prática recomendada de utilizar um usuário de banco de dados criado com os privilégios mínimos necessários para sua aplicação, em vez de usar o usuário principal. Para usuários de aplicativos, para maior disponibilidade, você pode usar a Estratégia de rotação de usuários alternados.
Para alterar a programação de alternância gerenciada
Abra o segredo gerenciado no console do Secrets Manager. Você pode seguir um link do serviço de gerenciamento ou pesquisar o segredo no console do Secrets Manager.
-
Em Rotation schedule (Programação da alternância), insira sua programação no fuso horário UTC no Schedule expression builder (Desenvolvedor de expressão programada) ou como uma Schedule expression (Expressão programada). O Secrets Manager armazena sua programação como uma expressão
rate()
oucron()
. A janela de alternância começa automaticamente à 0h, a menos que você especifique um horário de início. Você pode alternar um segredo com intervalos a partir de quatro horas. Para ter mais informações, consulte Programação de alternância. -
(Opcional) Em Window duration (Duração da janela), escolha a duração da janela em que deseja que o Secrets Manager alterne o seu segredo, por exemplo,
3h
, por uma janela de três horas. A janela não pode se estender até a próxima janela de alternância. Se você não especificar Window duration (Duração da janela) para uma programação de alternância em horas, a janela será automaticamente encerrada após uma hora. Para uma programação de alternância em dias, a janela terminará automaticamente no final do dia. Escolha Salvar.
Para alterar o cronograma de alternância gerenciada (AWS CLI)
Chame
rotate-secret
. O exemplo a seguir alterna o segredo entre 16h e 18h UTC no 1.º e no 15.º dias do mês. Para ter mais informações, consulte Programação de alternância.aws secretsmanager rotate-secret \ --secret-id MySecret \ --rotation-rules "{\"ScheduleExpression\": \"cron(0 16 1,15 * ? *)\", \"Duration\": \"2h\"}"