Rotación con función de Lambda - AWS Secrets Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Rotación con función de Lambda

Para muchos tipos de secretos, Secrets Manager utiliza una AWS Lambda función para actualizar el secreto y la base de datos o el servicio. Para obtener información sobre los costos por usar una función de Lambda, consulte Precios.

En algunos Secretos gestionados por otros servicios, se utiliza la rotación administrada. Para utilizar Rotación administrada, primero se debe crear el secreto a través del servicio de administración.

Durante la rotación, Secrets Manager registra los eventos que indican el estado de rotación. Para obtener más información, consulte Registro de eventos de AWS Secrets Manager con AWS CloudTrail.

Para rotar un secreto, Secrets Manager llama a una función de Lambda según la programación de rotación que haya configurado. Si también se actualiza manualmente el valor de secreto mientras está configurada la rotación automática, Secrets Manager la considerará una rotación válida cuando calcule la próxima fecha de rotación.

Durante la rotación, Secrets Manager llama a la misma función varias veces, cada una con diferentes parámetros. Secrets Manager invoca la función con la siguiente estructura de JSON solicitud de parámetros: 

{
    "Step" : "request.type",
    "SecretId" : "string",
    "ClientRequestToken" : "string",
    "RotationToken" : "string"
}
Parámetros:

  • Step: el paso de rotación (create_secret, set_secret, test_secret o finish_secret). Para obtener más información, consulte Cuatro pasos en una función de rotación.

  • SecretId— El ARN secreto para rotar.

  • ClientRequestToken— Un identificador único para la nueva versión del secreto. Este valor ayuda a garantizar la idempotencia. Para obtener más información, consulte PutSecretValue: ClientRequestToken en la AWS Secrets Manager APIReferencia.

  • RotationToken— Un identificador único que indica el origen de la solicitud. Necesario para la rotación secreta mediante un rol asumido o la rotación entre cuentas, en la que se rota un secreto de una cuenta mediante una función de rotación de Lambda en otra cuenta. En ambos casos, la función de rotación asume una IAM función para llamar a Secrets Manager y, a continuación, Secrets Manager utiliza el token de rotación para validar la identidad del IAM rol.

Si algún paso de la rotación falla, Secrets Manager vuelve a intentar todo el proceso de rotación varias veces.

Temas