Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Richten Sie eine wechselnde Benutzerrotation ein für AWS Secrets Manager
In diesem Lernprogramm erfahren Sie, wie Sie die Drehung von wechselnden Benutzern für ein Geheimnis einrichten, das Datenbank-Anmeldeinformationen enthält. *Drehung wechselnder Benutzer* ist eine Drehungsstrategie, bei der Secrets Manager den Benutzer klont und dann wechselt, welche Anmeldeinformationen des Benutzers aktualisiert werden. Diese Strategie ist eine gute Wahl, wenn Sie eine hohe Verfügbarkeit für Ihr Secret benötigen, da einer der alternierenden Benutzer über aktuelle Anmeldeinformationen für die Datenbank verfügt, während der andere aktualisiert wird. Weitere Informationen finden Sie unter [Rotationsstrategie: wechselnde Benutzer](rotation-strategy.md#rotating-secrets-two-users).
Um die Drehung alternativer Benutzer einzurichten, benötigen Sie zwei Geheimnisse:
+ Ein Geheimnis mit den Anmeldeinformationen, die Sie drehen möchten.
+ Ein zweites Secret mit Administratoranmeldeinformationen.
Dieser Benutzer ist berechtigt, den ersten Benutzer zu klonen und das Passwort des ersten Benutzers zu ändern. In diesem Tutorial lassen Sie Amazon RDS dieses Secret für einen Admin-Benutzer erstellen. Amazon RDS verwaltet auch die Admin-Passwortrotation. Weitere Informationen finden Sie unter [Verwaltete Rotation von AWS Secrets Manager Geheimnissen](rotate-secrets_managed.md).
Im ersten Teil dieses Tutorials geht es um das Einrichten einer realistischen Umgebung. Um Ihnen die Funktionsweise der Drehung zu zeigen, verwendet dieses Tutorial ein beispielshafte MySQL-Datenbank von Amazon RDS. Aus Sicherheitsgründen befindet sich die Datenbank in einer VPC, die eingehenden Internetzugriff beschränkt. Um von Ihrem lokalen Computer über das Internet eine Verbindung zur Datenbank herzustellen, verwenden Sie einen *Bastion-Host*, einen Server in der VPC, der eine Verbindung zur Datenbank herstellen kann, aber auch SSH-Verbindungen aus dem Internet erlaubt. Der Bastion-Host in diesem Tutorial ist eine Amazon-EC2-Instance und die Sicherheitsgruppen für die Instance verhindern andere Arten von Verbindungen.
Nachdem Sie das Tutorial abgeschlossen haben, empfehlen wir, dass Sie die Ressourcen aus dem Tutorial bereinigen. Verwenden Sie sie nicht in einer Produktionsumgebung.
Die Secrets Manager Manager-Rotation verwendet eine AWS Lambda Funktion, um das Geheimnis und die Datenbank zu aktualisieren. Hinweise zu den Kosten der Verwendung einer Lambda-Funktion finden Sie unter [Preisgestaltung](intro.md#asm_pricing).
**Topics**
+ [Berechtigungen](#tutorials_rotation-alternating-permissions)
+ [Voraussetzungen](#tutorials_rotation-alternating-step-setup)
+ [Schritt 1: Erstellen eines Amazon-RDS-Datenbankbenutzers](#tutorials_rotation-alternating-step-database)
+ [Schritt 2: Erstellen Sie ein Geheimnis für die Benutzer-Anmeldeinformationen](#tutorials_rotation-alternating_step-rotate)
+ [Schritt 3: Testen des gedrehten Geheimnisses](#tutorials_rotation-alternating_step-test-secret)
+ [Schritt 4: Bereinigen von Ressourcen](#tutorials_rotation-alternating_step-cleanup)
+ [Nächste Schritte](#tutorials_rotation-alternating_step-next)
## Berechtigungen
Als Teil der Voraussetzungen für das Tutorial benötigen Sie Administratorberechtigungen für Ihr AWS-Konto. In einer Produktionsumgebung ist es eine bewährte Methode, für jeden der Schritte verschiedene Rollen zu verwenden. Beispielsweise würde eine Rolle mit Datenbank-Administratorberechtigungen die Amazon-RDS-Datenbank erstellen, und eine Rolle mit Netzwerk-Administratorberechtigungen würde die VPC und Sicherheitsgruppen einrichten. Für die Tutorial-Schritte empfehlen wir Ihnen, weiterhin dieselbe Identität zu verwenden.
Informationen zum Einrichten von Berechtigungen in einer Produktionsumgebung finden Sie unter [Authentifizierung und Zugriffskontrolle für AWS Secrets Manager](auth-and-access.md).
## Voraussetzungen
**Topics**
+ [Voraussetzung A: Amazon VPC](#tutorials_rotation-alternating-step-vpc)
+ [Voraussetzung B: Amazon-EC2-Instance](#tutorials_rotation-alternating-step-setup_ec2)
+ [Voraussetzung C: Amazon-RDS-Datenbank und ein Secrets-Manager-Secret für die Administrator-Anmeldeinformationen](#tutorials_rotation-alternating-step-database)
+ [Voraussetzung D: Ihrem lokalen Computer gestatten, eine Verbindung mit der EC2-Instance herzustellen](#tutorials_rotation-alternating-step-ec2connect)
### Voraussetzung A: Amazon VPC
In diesem Schritt erstellen Sie eine VPC, in die Sie eine Amazon-RDS-Datenbank und eine Amazon-EC2-Instance starten können. In einem späteren Schritt verwenden Sie Ihren Computer, um über das Internet eine Verbindung zur Bastion und dann zur Datenbank herzustellen. Sie müssen also Datenverkehr aus der VPC zulassen. Dazu fügt Amazon VPC ein Internet-Gateway an die VPC an und fügt eine Route in der Routing-Tabelle hinzu, sodass Datenverkehr, der für außerhalb der VPC bestimmt ist, an das Internet-Gateway gesendet wird.
Innerhalb der VPC erstellen Sie einen Secrets-Manager-Endpunkt und einen Amazon-RDS-Endpunkt. Wenn Sie die automatische Rotation einrichten, erstellt Secrets Manager die Lambda-Rotationsfunktion innerhalb der VPC, sodass sie Zugriff auf die Datenbank hat. Die Lambda-Rotationsfunktion ruft auch Secrets Manager auf, um das Secret zu aktualisieren, und sie ruft Amazon RDS auf, um die Datenbankverbindungsinformationen abzurufen. Durch die Erstellung von Endpunkten innerhalb der VPC stellen Sie sicher, dass Aufrufe der Lambda-Funktion an Secrets Manager und Amazon RDS die Infrastruktur nicht verlassen. AWS Stattdessen werden sie an die Endpunkte innerhalb der VPC weitergeleitet.
**So erstellen Sie eine VPC**
1. Öffnen Sie die Amazon-VPC-Konsole unter [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Wählen Sie **VPC erstellen** aus.
1. Wählen Sie auf der Seite **Create VPC** (VPC erstellen) die Option **VPC and more** (VPC und mehr) aus.
1. Geben Sie unter **Name tag auto-generation** (Automatische Generierung des Nametags) unter **Auto-generate** (Automatisch generieren) **SecretsManagerTutorial** ein.
1. Wählen Sie für **DNS options** (DNS-Optionen) sowohl **Enable DNS hostnames** als auch **Enable DNS resolution** aus.
1. Wählen Sie **VPC erstellen** aus.
**So erstellen Sie einen Secrets-Manager-Endpunkt innerhalb der VPC**
1. Wählen Sie in der Amazon-VPC-Konsole unter **Endpoints** (Endpunkte) die Option **Create Endpoint** (Endpunkt erstellen) aus.
1. Geben Sie unter **Endpoint settings** (Endpunkt-Einstellungen) als **Name** (Name) **SecretsManagerTutorialEndpoint** ein.
1. Geben Sie unter **Services** **secretsmanager** ein, um die Liste zu filtern, und wählen Sie dann den Secrets-Manager-Endpunkt in Ihrer AWS-Region aus. Wählen Sie zum Beispiel in USA-Ost (Nord-Virginia) `com.amazonaws.us-east-1.secretsmanager` aus.
1. Wählen Sie für **VPC** **vpc\$1\$1\$1\$1 (SecretsManagerTutorial)** aus.
1. Wählen Sie für **Subnets** (Subnetze) alle **Availability Zones** aus und wählen Sie dann für jede einzelne eine einzuschließende **Subnetz-ID** aus.
1. Wählen Sie für **IP address type** (Typ der IP-Adresse) die Option **IPv4** aus.
1. Wählen Sie unter **Security groups** (Sicherheitsgruppen) die Standard-Sicherheitsgruppe aus.
1. Wählen Sie für **Policy** (Richtlinie) **Full access** aus.
1. Wählen Sie **Endpunkt erstellen** aus.
**So erstellen Sie einen Amazon-RDS-Endpunkt innerhalb der VPC**
1. Wählen Sie in der Amazon-VPC-Konsole unter **Endpoints** (Endpunkte) die Option **Create Endpoint** (Endpunkt erstellen) aus.
1. Geben Sie unter **Endpoint settings** (Endpunkt-Einstellungen) als **Name** (Name) **RDSTutorialEndpoint** ein.
1. Geben Sie unter **Services** **rds** ein, um die Liste zu filtern, und wählen Sie dann den Amazon-RDS-Endpunkt in Ihrer AWS-Region aus. Wählen Sie zum Beispiel in USA-Ost (Nord-Virginia) `com.amazonaws.us-east-1.rds` aus.
1. Wählen Sie für **VPC** **vpc\$1\$1\$1\$1 (SecretsManagerTutorial)** aus.
1. Wählen Sie für **Subnets** (Subnetze) alle **Availability Zones** aus und wählen Sie dann für jede einzelne eine einzuschließende **Subnetz-ID** aus.
1. Wählen Sie für **IP address type** (Typ der IP-Adresse) die Option **IPv4** aus.
1. Wählen Sie unter **Security groups** (Sicherheitsgruppen) die Standard-Sicherheitsgruppe aus.
1. Wählen Sie für **Policy** (Richtlinie) **Full access** aus.
1. Wählen Sie **Endpunkt erstellen** aus.
### Voraussetzung B: Amazon-EC2-Instance
Die Amazon RDS-Datenbank, die Sie in einem späteren Schritt erstellen, befindet sich in der VPC. Um darauf zuzugreifen, benötigen Sie also einen Bastion-Host. Der Bastion-Host befindet sich ebenfalls in der VPC, aber in einem späteren Schritt konfigurieren Sie eine Sicherheitsgruppe, sodass Ihr lokaler Computer eine Verbindung mit SSH mit dem Bastion-Host herstellen kann.
**So erstellen Sie eine EC2-Instance für einenen Bastion-Host**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie **Instances** und dann **Launch instances** (Instances launchen) aus.
1. Geben Sie unter **Name and tags** (Name und Tags) als **Name** den Namen **SecretsManagerTutorialInstance** ein.
1. Behalten Sie unter **Application and OS Images** (Anwendungs- und Betriebssystemabbilder) die Standardeinstellung **Amazon Linux 2 AMI (HMV) Kernel 5.10** bei.
1. Behalten Sie unter **Instance type** (Typ der Instance) die Standardeinstellung **t2.micro** bei.
1. Wählen Sie unter **Key pair** (Schlüsselpaar) die Option **Create key pair** (Schlüsselpaar erstellen) aus.
Geben Sie im Dialogfeld **Create Key Pair** (Schlüsselpaar erstellen) im Feld **Key pair name** (Schlüsselpaarname) als Namen **SecretsManagerTutorialKeyPair** ein und klicken Sie auf **Create key pair** (Schlüsselpaar erstellen).
Das Schlüsselpaar wird automatisch heruntergeladen.
1. Wählen Sie unter **Network settings** (Netzwerkeinstellungen) die Option **Edit** (Bearbeiten) und gehen Sie wie folgt vor:
1. Wählen Sie für **VPC** **vpc-\$1\$1\$1\$1 SecretsManagerTutorial** aus.
1. Wählen Sie für **Auto-assign public IP** (Öffentliche IP automatisch zuweisen) **Enable** aus.
1. Wählen Sie bei **Firewall** (Firewall) **Select existing security group** (Vorhandene Sicherheitsgruppe auswählen) aus.
1. Wählen Sie bei **Common security groups** (Allgemeine Sicherheitsgruppen) **default** aus.
1. Wählen Sie **Launch Instance (Instance starten)** aus.
### Voraussetzung C: Amazon-RDS-Datenbank und ein Secrets-Manager-Secret für die Administrator-Anmeldeinformationen
In diesem Schritt erstellen Sie eine Amazon-RDS-MySQL-Datenbank und konfigurieren sie so, dass Amazon RDS ein Secret erstellt, das die Administrator-Anmeldeinformationen enthält. Dann verwaltet Amazon RDS automatisch die Rotation des Admin-Secrets für Sie. Weitere Informationen finden Sie unter [Verwaltete Rotation](rotate-secrets_managed.md).
Im Rahmen der Erstellung Ihrer Datenbank geben Sie den Bastion-Host an, den Sie im vorherigen Schritt erstellt haben. Dann richtet Amazon RDS Sicherheitsgruppen ein, sodass die Datenbank und die Instance aufeinander zugreifen können. Sie fügen der Sicherheitsgruppe, die an die Instance angehängt ist, eine Regel hinzu, damit auch Ihr lokaler Computer eine Verbindung zu ihr herstellen kann.
**So erstellen Sie eine Amazon-RDS-Datenbank mit einem Secrets-Manager-Secret, das die Administratoranmeldeinformationen enthält**
1. Wählen Sie in der Amazon-RDS-Konsole **Databases** (Datenbanken) aus.
1. Wählen Sie im Abschnitt **Engine options** (Engine-Optionen) bei **Engine type** (Engine-Typ) die Option **MySQL** aus.
1. Wählen Sie im Abschnitt **Templates** (Vorlagen) die Option **Free tier** aus.
1. Gehen Sie im Abschnitt **Settings** (Einstellungen) wie folgt vor:
1. Geben Sie als **DB instance identifier** (DB-Instance-ID) **SecretsManagerTutorial** ein.
1. Wählen Sie unter **Einstellungen für Anmeldeinformationen** die Option Masteranmeldedaten **verwalten** in aus. AWS Secrets Manager
1. Wählen Sie im Abschnitt **Connectivity** (Konnektivität) für **Computer resource** (Computerressource) die Option **Connect to an EC2 computer resource** (Mit einer EC2-Computerressource verbinden) aus, und wählen Sie dann bei **EC2 Instance** (EC2-Instance) die Option **SecretsManagerTutorialInstance**.
1. Wählen Sie **Datenbank erstellen** aus.
### Voraussetzung D: Ihrem lokalen Computer gestatten, eine Verbindung mit der EC2-Instance herzustellen
In diesem Schritt konfigurieren Sie die EC2-Instance, die Sie in Voraussetzung B erstellt haben, so, dass Ihr lokaler Computer eine Verbindung zu ihr herstellen kann. Dazu bearbeiten Sie die Sicherheitsgruppe, die Amazon RDS in Voraussetzung C hinzugefügt hat, sodass sie eine Regel enthält, die es der IP-Adresse Ihres Computers ermöglicht, eine Verbindung mit SSH herzustellen. Die Regel ermöglicht es Ihrem lokalen Computer (identifiziert anhand Ihrer aktuellen IP-Adresse), mithilfe von SSH über das Internet eine Verbindung mit dem Bastion-Host herzustellen.
**So gestatten Sie Ihrem lokalen Computer, eine Verbindung mit der EC2-Instance herzustellen**
1. Öffnen Sie die Amazon-EC2-Konsole unter [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/).
1. Wählen Sie auf der EC2-Instance **SecretsManagerTutorialInstance**auf der Registerkarte **Sicherheit** unter **Sicherheitsgruppen** die Option. **sg-\$1\$1\$1 (ec2-rds-X)**
1. Wählen Sie auf der Registerkarte **Inbound rules** (Regeln für eingehenden Datenverkehr) die Option **Edit inbound rules** (Regeln für eingehenden Datenverkehr bearbeiten) aus.
1. Wählen Sie **Add rule** (Regel hinzufügen) und gehen Sie wie folgt vor:
1. Wählen Sie für **Type (Typ)** die Option **SSH** aus.
1. Wählen Sie im Feld **Source type** (Quelltyp) die Option **My IP** aus.
## Schritt 1: Erstellen eines Amazon-RDS-Datenbankbenutzers
Zuerst benötigen Sie einen Benutzer, dessen Anmeldeinformationen im Geheimnis gespeichert werden. Um den Benutzer zu erstellen, melden Sie sich mit Administratoranmeldeinformationen bei der Amazon-RDS-Datenbank an. Der Einfachheit halber erstellen Sie im Tutorial einen Benutzer mit voller Berechtigung für eine Datenbank. In einer Produktionsumgebung ist dies nicht typisch, und wir empfehlen, dem Prinzip der geringsten Berechtigung zu folgen.
Um eine Verbindung mit der Datenbank herzustellen, verwenden Sie ein MySQL-Client-Tool. In diesem Tutorial verwenden Sie MySQL Workbench, eine GUI-basierte Anwendung. Informationen zum Installieren von MySQL Workbench finden Sie unter [MySQL Workbench herunterladen](http://dev.mysql.com/downloads/workbench/).
Um eine Verbindung mit der Datenbank herzustellen, erstellen Sie eine Verbindungskonfiguration in MySQL Workbench. Für die Konfiguration benötigen Sie einige Informationen sowohl von Amazon EC2 als auch von Amazon RDS.
**So erstellen Sie eine Datenbankverbindung in MySQL Workbench**
1. Wählen Sie in MySQL Workbench neben **MySQL Connections** (MySQL-Verbindungen) die Schaltfläche (\$1) aus.
1. Gehen Sie im Dialogfeld **Setup New Connection** (Neue Verbindung einrichten) wie folgt vor:
1. Geben Sie für **Connection name** (Verbindungsname) **SecretsManagerTutorial** ein.
1. Wählen Sie für **Connection method** (Verbindungsmethode) **Standard TCP/IP over SSH** aus.
1. Gehen Sie auf der Registerkarte **Parameters** (Parameter) folgendermaßen vor:
1. Geben Sie für **SSH-Hostname** die öffentliche IP-Adresse der Amazon-EC2-Instance ein.
Sie finden die IP-Adresse auf der Amazon EC2 EC2-Konsole, indem Sie die Instance **SecretsManagerTutorialInstance**auswählen. Kopieren Sie die IP-Adresse unter **Public IPv4 DNS**.
1. Geben Sie für **SSH user name** (SSH-Benutzername) **ec2-user** ein.
1. Wählen Sie für **SSH Keyfile** die Schlüsselpaardatei **SecretsManagerTutorialKeyPair.pem aus, die Sie in der vorherigen** Voraussetzung heruntergeladen haben.
1. Geben Sie für **MySQL Hostname** (MySQL-Hostname) die Amazon-RDS-Endpunktadresse ein.
Sie finden die Endpunktadresse in der Amazon-RDS-Konsole, indem Sie die Datenbank-Instance **secretsmanagertutorialdb** auswählen. Kopieren Sie die Adresse unter **Endpoint** (Endpunkt).
1. Geben Sie für **Username** (Benutzername) **admin** ein.
1. Wählen Sie **OK** aus.
**So rufen Sie das Admin-Passwort ab**
1. Gehen Sie in der Amazon-RDS-Konsole zu Ihrer Datenbank.
1. Wählen Sie auf der Registerkarte **Configuration** (Konfiguration) unter **Master Credentials ARN** (Master-Anmeldeinformationen-ARN) die Option **Manage in Secrets Manager** (In Secrets Manager verwalten) aus.
Die Secrets-Manager-Konsole wird geöffnet.
1. Wählen Sie auf der Seite „Secret details“ (Secret-Details) die Option **Retrieve secret value** (Secret-Wert abrufen) aus.
1. Das Passwort wird im Abschnitt **Secret value** (Secret-Wert) angezeigt.
**So erstellen Sie einen Datenbankbenutzer**
1. Wählen Sie in MySQL Workbench die Verbindung **SecretsManagerTutorial**aus.
1. Geben Sie das Admin-Passwort ein, das Sie aus dem Secret abgerufen haben.
1. Geben Sie in MySQL Workbench im Fenster **Query** (Abfragen) die folgenden Befehle (einschließlich eines sicheren Passworts) ein und wählen Sie dann **Execute** (Ausführen) aus. Die Rotationsfunktion testet das aktualisierte Geheimnis mithilfe von SELECT, sodass sie mindestens über dieses Recht verfügen **appuser** müssen.
```
CREATE DATABASE myDB;
CREATE USER 'appuser'@'%' IDENTIFIED BY 'EXAMPLE-PASSWORD';
GRANT SELECT ON myDB . * TO 'appuser'@'%';
```
Im Fenster **Output** (Ausgabe) sehen Sie, dass die Befehle erfolgreich sind.
## Schritt 2: Erstellen Sie ein Geheimnis für die Benutzer-Anmeldeinformationen
Als Nächstes erstellen Sie ein Geheimnis zum Speichern der Anmeldeinformationen des gerade erstellten Benutzers. Das ist das Geheimnis, das Sie drehen werden. Sie aktivieren die automatische Drehung und, um die Strategie für alternative Benutzer anzugeben, wählen Sie ein separates Superuser-Geheimnis aus, das berechtigt ist, das Passwort des ersten Benutzers zu ändern.
1. Öffnen Sie die Secrets Manager Manager-Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Wählen Sie **Store a new secret** (Ein neues Secret speichern).
1. Führen Sie auf der Seite **Choose secret type** (Secret-Typ auswählen) die folgenden Schritte aus:
1. Wählen Sie für **Secret type** (Geheimnistyp) **Credentials for Amazon RDS database** (Anmeldedaten für die Amazon-RDS-Datenbank) aus.
1. Geben Sie für **Credentials** (Anmeldeinformationen) den Benutzernamen **appuser** und das Passwort ein, das Sie für den Datenbankbenutzer eingegeben haben, den Sie mit MySQL Workbench erstellt haben.
1. Wählen Sie für **Database** (Datenbank) **secretsmanagertutorialdb** aus.
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Configure secret** (Secret konfigurieren) für **Secret name** (Secret-Name) **SecretsManagerTutorialAppuser** ein und wählen Sie dann **Next** (Weiter) aus.
1. Führen Sie auf der Seite **Configure rotation** (Drehung konfigurieren) die folgenden Schritte aus:
1. Schalten Sie die **automatische Rotation** ein.
1. Legen Sie für **Rotation schedule** (Drehungsplan) einen Zeitplan von **Days** (Tagen) fest: **2** Tage mit **Duration** (Dauer): **2h**. Behalten Sie die Auswahl **Rotate immediately** (Sofort drehen) bei.
1. Wählen Sie für **Rotation function** (Drehungsfunktion) **Create a rotation function** (Drehungsfunktion erstellen) und geben Sie dann als Funktionsnamen **tutorial-alternating-users-rotation** ein.
1. Wählen Sie für **Rotationsstrategie** die Option **Alternierende Benutzer** aus und wählen Sie dann unter **Administrator-Anmeldeinformations-Secret** das Secret mit dem Namen **rds\$1cluster…** aus, dessen **Beschreibung** den Namen der Datenbank enthält, die Sie in diesem Tutorial **secretsmanagertutorial** erstellt haben, z. B. `Secret associated with primary RDS DB instance: arn:aws:rds:Region:AccountId:db:secretsmanagertutorial`.
1. Wählen Sie **Weiter** aus.
1. Wählen Sie auf der Seite **Review** (Überprüfung) **Store** (Speichern) aus.
Secrets Manager kehrt zur Seite mit den geheimen Details zurück. Oben auf der Seite sehen Sie den Status der Drehungskonfiguration. Secrets Manager erstellt CloudFormation damit Ressourcen wie die Lambda-Rotationsfunktion und eine Ausführungsrolle, die die Lambda-Funktion ausführt. Wenn der Vorgang CloudFormation abgeschlossen ist, ändert sich das Banner in **Secret, das zur Rotation geplant ist**. Die erste Drehung ist abgeschlossen.
## Schritt 3: Testen des gedrehten Geheimnisses
Nachdem das Secret rotiert wurde, können Sie überprüfen, ob es gültige Anmeldeinformationen enthält. Das Passwort im Geheimnis hat sich gegenüber den ursprünglichen Anmeldeinformationen geändert.
**So rufen Sie das neue Passwort aus dem Geheimnis ab**
1. Öffnen Sie die Secrets Manager Manager-Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Wählen Sie **Secrets** (Geheimnisse) und dann das Geheimnis **SecretsManagerTutorialAppuser** aus.
1. Scrollen Sie auf der Seite **Secret details** (Geheimnis-Details) nach unten und wählen Sie **Retrieve secret value** (Geheimnis-Wert abrufen) aus.
1. Kopieren Sie in der Tabelle **Key/value** (Schlüssel/Wert) den **Secret value** (Geheimnis-Wert) für **password**.
**So testen Sie die Anmeldeinformationen**
1. Klicken Sie in MySQL Workbench mit der rechten Maustaste auf die Verbindung **SecretsManagerTutorial**und wählen Sie dann **Verbindung bearbeiten**.
1. Geben Sie im Dialogfeld **Manage Server Connections** (Serververbindungen verwalten) für **Username** (Benutzername) **appuser** ein und wählen Sie dann **Close** (Schließen) aus.
1. Zurück in MySQL Workbench wählen Sie die Verbindung **SecretsManagerTutorial**aus.
1. Fügen Sie im Dialogfeld **Open SSH Connection** (SSH-Verbindung öffnen) für **Password** (Passwort) das Passwort ein, das Sie aus dem Geheimnis abgerufen haben, und wählen Sie dann **OK** aus.
Wenn die Anmeldeinformationen gültig sind, wird MySQL Workbench zur Entwurfsseite für die Datenbank geöffnet.
Dies zeigt, dass die Geheimnis-Drehung erfolgreich ist. Die Anmeldeinformationen im Geheimnis wurden aktualisiert und es ist ein gültiges Passwort für die Verbindung mit der Datenbank vorhanden.
## Schritt 4: Bereinigen von Ressourcen
Wenn Sie eine andere Rotationsstrategie ausprobieren möchten, *single user rotation* (Rotation eines einzelnen Benutzers), überspringen Sie die Bereinigung von Ressourcen und gehen Sie zu [Richten Sie die Einzelbenutzerrotation ein für AWS Secrets Manager](tutorials_rotation-single.md).
Andernfalls, um mögliche Kosten zu vermeiden und die EC2-Instance, die Zugriff auf das Internet hat, zu entfernen, löschen Sie die folgenden Ressourcen, die Sie in diesem Tutorial und seinen Voraussetzungen erstellt haben:
+ Amazon-RDS-Datenbank-Instance. Eine Anleitung finden Sie unter [Löschen einer DB-Instance](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_DeleteInstance.html) im *Amazon-RDS-Benutzerhandbuch*.
+ Amazon-EC2-Instance. Anweisungen finden Sie unter [Eine Instance beenden](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html#terminating-instances-console) im *Amazon EC2 EC2-Benutzerhandbuch*.
+ Secrets-Manager-Geheimnis `SecretsManagerTutorialAppuser`. Detaillierte Anweisungen finden Sie unter [Ein AWS Secrets Manager Geheimnis löschen](manage_delete-secret.md).
+ Secrets-Manager-Endpunkt. Weitere Informationen finden Sie unter [Löschen eines VPC-Endpunkts](https://docs.aws.amazon.com/vpc/latest/privatelink/delete-vpc-endpoint.html) im *AWS PrivateLink -Handbuch*.
+ VPC-Endpunkt. Weitere Informationen finden Sie unter [Löschen Ihrer VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#VPC_Deleting) im *AWS PrivateLink -Handbuch*.
## Nächste Schritte
+ Erfahren Sie, wie Sie [Secrets in Ihren Anwendungen abrufen](retrieving-secrets.md).
+ Erfahren Sie mehr über [andere Rotationspläne](rotate-secrets_schedule.md).