AWS Secrets Manager 密钥的托管轮换

部分服务提供托管轮换，即服务为您配置和管理轮换。使用托管轮换，您无需使用 AWS Lambda 函数来更新数据库中的密钥和凭证。以下服务提供托管轮换：

Amazon ECS Service Connect 为 AWS Private Certificate Authority TLS 证书提供托管轮换。有关更多信息，请参阅《亚马逊弹性容器服务开发者指南》中的带有 Service Connect 的 TLS。
Amazon RDS 为主用户凭证提供托管轮换。有关更多信息，请参阅《Amazon RDS 用户指南》中的使用 Amazon RDS 和 AWS Secrets Manager 管理密码。
Amazon Aurora 为主用户凭证提供托管轮换。有关更多信息，请参阅《Amazon Aurora 用户指南》中的使用 Amazon Aurora 和 AWS Secrets Manager 管理密码。
Amazon Redshift 为管理员密码提供托管轮换。有关更多信息，请参阅《Amazon Redshift 管理指南》中的使用 AWS Secrets Manager 管理 Amazon Redshift 管理员密码。

有关所有其他类型的密钥，请参阅轮换密钥。

托管秘密的轮换通常会在一分钟内完成。在轮换期间，检索秘密的新连接可能会获得先前版本的凭证。在应用程序中，我们强烈建议您遵循使用以您的应用程序所需的最低权限创建的数据库用户的最佳实践，而不是使用主用户。对于应用程序用户，为了获得最高可用性，可以使用交替用户轮换策略。

更改托管轮换的计划（控制台）

在 Secrets Manager 控制台中打开托管密钥。您可以访问管理服务中的链接，也可以在 Secrets Manager 控制台中搜索密钥。
在 Rotation schedule（轮换计划）下，在 Schedule expression builder（计划表达式生成器）或 Schedule expression（计划表达式）中，以 UTC 时区格式输入您的计划。Secrets Manager 会将您的计划存储为 rate() 或 cron() 表达式。轮换时段将自动从午夜开始，除非您指定 Start time（开始时间）。您可以每四小时轮换一次密钥。有关更多信息，请参阅计划表达式。
（可选）对于 Window duration（时段持续时间），选择您希望 Secrets Manager 在其间轮换密钥的时段长度，例如 3h 表示三个小时的时段。该时段不得延伸到下一个轮换时段。如果未指定 Window duration（时段持续时间），则对于以小时为单位的轮换计划，时段将在一小时后自动关闭。对于以天为单位的轮换计划，时段将在一天结束时自动关闭。
选择保存。

更改托管轮换的计划 (AWS CLI)

调用 rotate-secret。以下示例在每月 1 日和 15 日 UTC 16:00 至 18:00 之间轮换密钥。有关更多信息，请参阅计划表达式。


aws secretsmanager rotate-secret \
    --secret-id MySecret \
    --rotation-rules "{\"ScheduleExpression\": \"cron(0 16 1,15 * ? *)\", \"Duration\": \"2h\"}"

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

轮换密钥

自动轮换数据库密钥（控制台）