Rotation durch Lambda-Funktion - AWS Secrets Manager

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Rotation durch Lambda-Funktion

Für viele Arten von Geheimnissen verwendet Secrets Manager eine AWS Lambda Funktion, um das Geheimnis und die Datenbank oder den Dienst zu aktualisieren. Hinweise zu den Kosten der Verwendung einer Lambda-Funktion finden Sie unter Preisgestaltung.

Für einige Von anderen Services verwaltete Geheimnisse verwenden Sie die verwaltete Rotation. Um Verwaltete Rotation zu verwenden, erstellen Sie das Secret zunächst über den Verwaltungsservice.

Während der Drehung protokolliert Secrets Manager Ereignisse, die den Drehungszustand angeben. Weitere Informationen finden Sie unter AWS Secrets Manager Ereignisse protokollieren mit AWS CloudTrail.

Um ein Geheimnis zu rotieren, ruft Secrets Manager eine Lambda-Funktion gemäß dem von Ihnen eingerichteten Rotationsplan auf. Wenn Sie Ihren Secret-Wert auch manuell aktualisieren, während die automatische Rotation eingerichtet ist, berücksichtigt Secrets Manager diese Rotation bei der Berechnung des nächsten Rotationsdatums.

Während der Drehung ruft Secrets Manager dieselbe Funktion mehrmals auf – jeweils mit unterschiedlichen Parametern. Secrets Manager ruft die Funktion mit der folgenden JSON Anforderungsstruktur von Parametern auf: 

{
    "Step" : "request.type",
    "SecretId" : "string",
    "ClientRequestToken" : "string",
    "RotationToken" : "string"
}
Parameter:

  • Schritt — Der Rotationsschritt:create_secret, set_secrettest_secret, oderfinish_secret. Weitere Informationen finden Sie unter Vier Schritte in einer Rotationsfunktion.

  • SecretId— Der ARN des Geheimnisses, das rotiert werden soll.

  • ClientRequestToken— Eine eindeutige Kennung für die neue Version des Geheimnisses. Dieser Wert trägt dazu bei, die Idempotenz sicherzustellen. Weitere Informationen finden Sie unter PutSecretValue: ClientRequestToken in der AWS Secrets Manager API Referenz.

  • RotationToken— Eine eindeutige Kennung, die die Quelle der Anfrage angibt. Erforderlich für die geheime Rotation mit einer angenommenen Rolle oder für eine kontoübergreifende Rotation, bei der Sie ein Geheimnis in einem Konto rotieren, indem Sie eine Lambda-Rotationsfunktion in einem anderen Konto verwenden. In beiden Fällen nimmt die Rotationsfunktion eine IAM Rolle zum Aufrufen von Secrets Manager an, und dann verwendet Secrets Manager das Rotationstoken, um die IAM Rollenidentität zu validieren.

Wenn ein Schritt in der Rotation fehlschlägt, wiederholt Secrets Manager den gesamten Rotationsprozess mehrmals.

Themen