Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Rotación administrada para secretos de AWS Secrets Manager
Algunos servicios ofrecen rotación administrada, que permite que el servicio se encargue de configurar y administrar la rotación. En la rotación administrada, no se utiliza una función de AWS Lambda para actualizar el secreto y las credenciales de la base de datos.
Los siguientes servicios ofrecen rotación administrada:
Amazon Aurora ofrece rotación administrada para las credenciales de usuario maestras. Para obtener más información, consulte Administración de contraseñas con Amazon Aurora y AWS Secrets Manager en la Guía del usuario de Amazon Aurora.
Amazon ECS Service Connect ofrece la rotación administrada de los certificados TLS de AWS Private Certificate Authority. Para obtener más información, consulte TLS con Service Connect en la Guía para desarrolladores de Amazon Elastic Container Service.
Amazon RDS ofrece rotación administrada para las credenciales de usuario maestras. Para obtener más información, consulte Administración de contraseñas con Amazon RDS y AWS Secrets Manager en la Guía del usuario de Amazon RDS.
Amazon Redshift ofrece rotación administrada para contraseñas de administrador. Para obtener más información, consulte Administración de contraseñas de administrador de Amazon Redshift mediante AWS Secrets Manager en la Guía de administración de Amazon Redshift.
sugerencia
Para los demás tipos de secretos, consulte Rotación con función de Lambda.
La rotación de los secretos gestionados generalmente se completa en un minuto. Durante la rotación, las nuevas conexiones que recuperan el secreto pueden obtener la versión anterior de las credenciales. En las aplicaciones, es muy recomendable respetar la práctica recomendada de utilizar un usuario de base de datos creado con los privilegios mínimos necesarios para su aplicación, en lugar de utilizar el usuario maestro. En el caso de los usuarios de la aplicación, para obtener la máxima disponibilidad, se puede utilizar la estrategia de rotación alterna de usuarios.
Para cambiar la programación de la rotación administrada
Abra el secreto administrado en la consola de Secrets Manager. Puede seguir un enlace del servicio de administración, o bien buscar el secreto en la consola de Secrets Manager.
-
En Rotation schedule (Programación de rotación), ingrese la programación en zona horaria UTC en Schedule expression builder (Generador de expresiones de programación) o como una expresión de programación. Secrets Manager almacena su programación como una expresión
rate()
ocron()
. El periodo de rotación se inicia a medianoche de forma automática, excepto si se especifica una Start time (Hora de inicio). Se puede rotar un secreto con una frecuencia máxima de cuatro horas. Para obtener más información, consulte Programación de rotación. -
(Opcional) En Window duration (Duración del periodo), elija el tiempo durante el cual desea que Secrets Manager rote su secreto, por ejemplo,
3h
, para un periodo de tres horas. El periodo no debe prolongarse hasta el siguiente periodo de rotación. Si no se especifica Window duration (Duración del periodo) para una programación de rotación en horas, el periodo concluye automáticamente al cabo de una hora. Para una programación de rotación en días, el periodo concluye automáticamente al final del día. Seleccione Guardar.
Para cambiar la programación de la rotación administrada (AWS CLI)
Llamar a
rotate-secret
. En el siguiente ejemplo se rota el secreto entre las 16:00 h y las 18:00 h UTC del día 1 y 15 del mes. Para obtener más información, consulte Programación de rotación.aws secretsmanager rotate-secret \ --secret-id MySecret \ --rotation-rules "{\"ScheduleExpression\": \"cron(0 16 1,15 * ? *)\", \"Duration\": \"2h\"}"