Rotación administrada para secretos de AWS Secrets Manager - AWS Secrets Manager

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Rotación administrada para secretos de AWS Secrets Manager

Algunos servicios ofrecen rotación administrada, que permite que el servicio se encargue de configurar y administrar la rotación. En la rotación administrada, no se utiliza una función de AWS Lambda para actualizar el secreto y las credenciales de la base de datos.

Los siguientes servicios ofrecen rotación administrada:

sugerencia

Para los demás tipos de secretos, consulte Rotación con función de Lambda.

La rotación de los secretos gestionados generalmente se completa en un minuto. Durante la rotación, las nuevas conexiones que recuperan el secreto pueden obtener la versión anterior de las credenciales. En las aplicaciones, es muy recomendable respetar la práctica recomendada de utilizar un usuario de base de datos creado con los privilegios mínimos necesarios para su aplicación, en lugar de utilizar el usuario maestro. En el caso de los usuarios de la aplicación, para obtener la máxima disponibilidad, se puede utilizar la estrategia de rotación alterna de usuarios.

Para cambiar la programación de la rotación administrada
  1. Abra el secreto administrado en la consola de Secrets Manager. Puede seguir un enlace del servicio de administración, o bien buscar el secreto en la consola de Secrets Manager.

  2. En Rotation schedule (Programación de rotación), ingrese la programación en zona horaria UTC en Schedule expression builder (Generador de expresiones de programación) o como una expresión de programación. Secrets Manager almacena su programación como una expresión rate() o cron(). El periodo de rotación se inicia a medianoche de forma automática, excepto si se especifica una Start time (Hora de inicio). Se puede rotar un secreto con una frecuencia máxima de cuatro horas. Para obtener más información, consulte Programación de rotación.

  3. (Opcional) En Window duration (Duración del periodo), elija el tiempo durante el cual desea que Secrets Manager rote su secreto, por ejemplo, 3h, para un periodo de tres horas. El periodo no debe prolongarse hasta el siguiente periodo de rotación. Si no se especifica Window duration (Duración del periodo) para una programación de rotación en horas, el periodo concluye automáticamente al cabo de una hora. Para una programación de rotación en días, el periodo concluye automáticamente al final del día.

  4. Seleccione Guardar.

Para cambiar la programación de la rotación administrada (AWS CLI)
  • Llamar a rotate-secret. En el siguiente ejemplo se rota el secreto entre las 16:00 h y las 18:00 h UTC del día 1 y 15 del mes. Para obtener más información, consulte Programación de rotación.

    aws secretsmanager rotate-secret \ --secret-id MySecret \ --rotation-rules "{\"ScheduleExpression\": \"cron(0 16 1,15 * ? *)\", \"Duration\": \"2h\"}"