Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Rotación gestionada de AWS Secrets Manager secretos
Algunos servicios ofrecen rotación administrada, que permite que el servicio se encargue de configurar y administrar la rotación. Con la rotación gestionada, no se utiliza una AWS Lambda función para actualizar el secreto y las credenciales de la base de datos.
Los siguientes servicios ofrecen rotación administrada:
Amazon Aurora ofrece la rotación gestionada de las credenciales de los usuarios maestros. Para obtener más información, consulte Administración de contraseñas con Amazon Aurora y AWS Secrets Manager en la Guía del usuario de Amazon Aurora.
Amazon ECS Service Connect ofrece la rotación gestionada de los certificados AWS Private Certificate Authority TLS. Para obtener más información, consulte TLS con Service Connect en la Guía para desarrolladores de Amazon Elastic Container Service.
Amazon RDS ofrece la rotación gestionada de las credenciales de los usuarios maestros. Para obtener más información, consulte Administración de contraseñas con Amazon RDS y AWS Secrets Manager en la Guía del usuario de Amazon RDS.
Amazon Redshift ofrece una rotación gestionada para las contraseñas de administrador. Para obtener más información, consulte Administración de contraseñas de administrador de Amazon Redshift mediante AWS Secrets Manager en la Guía de administración de Amazon Redshift.
sugerencia
Para los demás tipos de secretos, consulte Rotación por función Lambda.
La rotación de los secretos gestionados generalmente se completa en un minuto. Durante la rotación, las nuevas conexiones que recuperan el secreto pueden obtener la versión anterior de las credenciales. En las aplicaciones, es muy recomendable respetar la práctica recomendada de utilizar un usuario de base de datos creado con los privilegios mínimos necesarios para su aplicación, en lugar de utilizar el usuario maestro. En el caso de los usuarios de la aplicación, para obtener la máxima disponibilidad, se puede utilizar la estrategia de rotación alterna de usuarios.
Para cambiar el programa de rotación gestionada
Abra el secreto administrado en la consola de Secrets Manager. Puede seguir un enlace del servicio de administración, o bien buscar el secreto en la consola de Secrets Manager.
-
En Rotation schedule (Programación de rotación), ingrese la programación en zona horaria UTC en Schedule expression builder (Generador de expresiones de programación) o como una expresión de programación. Secrets Manager almacena su programación como una expresión
rate()ocron(). El periodo de rotación se inicia a medianoche de forma automática, excepto si se especifica una Start time (Hora de inicio). Se puede rotar un secreto con una frecuencia máxima de cuatro horas. Para obtener más información, consulte Horarios de rotación. -
(Opcional) En Window duration (Duración del periodo), elija el tiempo durante el cual desea que Secrets Manager rote su secreto, por ejemplo,
3h, para un periodo de tres horas. El periodo no debe prolongarse hasta el siguiente periodo de rotación. Si no se especifica Window duration (Duración del periodo) para una programación de rotación en horas, el periodo concluye automáticamente al cabo de una hora. Para una programación de rotación en días, el periodo concluye automáticamente al final del día. Seleccione Guardar.
Para cambiar la programación de la rotación administrada (AWS CLI)
Llamar a
rotate-secret. En el siguiente ejemplo se rota el secreto entre las 16:00 h y las 18:00 h UTC del día 1 y 15 del mes. Para obtener más información, consulte Horarios de rotación.aws secretsmanager rotate-secret \ --secret-id MySecret \ --rotation-rules "{\"ScheduleExpression\": \"cron(0 16 1,15 * ? *)\", \"Duration\": \"2h\"}"
