Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Rotation par fonction Lambda
Pour de nombreux types de secrets, Secrets Manager utilise une AWS Lambda fonction pour mettre à jour le secret et la base de données ou le service. Pour plus d'informations sur les coûts d'utilisation d'une fonction Lambda, consultez Tarification.
Pour certains Secrets gérés par d'autres services, vous utilisez la rotation gérée. Pour utiliser Rotation gérée, vous devez d'abord créer le secret via le service de gestion.
Pendant la rotation, Secrets Manager enregistre les événements qui indiquent l'état de rotation. Pour de plus amples informations, veuillez consulter Enregistrez AWS Secrets Manager les événements avec AWS CloudTrail.
Pour faire pivoter un secret, Secrets Manager appelle une fonction Lambda selon le calendrier de rotation que vous avez défini. Si vous mettez manuellement à jour votre valeur secrète alors que la rotation automatique est configurée, Secrets Manager considère qu'il s'agit d'une rotation valide lorsqu'il calcule la date de rotation suivante.
Au cours de la rotation, Secrets Manager appelle la même fonction plusieurs fois, avec des paramètres différents à chaque fois. Secrets Manager invoque la fonction avec la structure de JSON requête de paramètres suivante :
{ "Step" : "request.type", "SecretId" : "string", "ClientRequestToken" : "string", "RotationToken" : "string" }
Paramètres :
Étape — L'étape de rotation :
create_secretset_secret,test_secret, oufinish_secret. Pour de plus amples informations, veuillez consulter Quatre étapes d'une fonction de rotation.SecretId— Le secret ARN de la rotation.
ClientRequestToken— Un identifiant unique pour la nouvelle version du secret. Cette valeur permet de garantir l'idempuissance. Pour plus d'informations, voir PutSecretValue: ClientRequestToken dans la AWS Secrets Manager APIréférence.
RotationToken— Un identifiant unique qui indique la source de la demande. Nécessaire pour une rotation secrète utilisant un rôle assumé ou une rotation entre comptes, dans laquelle vous faites pivoter un secret dans un compte en utilisant une fonction de rotation Lambda dans un autre compte. Dans les deux cas, la fonction de rotation assume le IAM rôle d'appeler Secrets Manager, puis Secrets Manager utilise le jeton de rotation pour valider l'identité du IAM rôle.
Si une étape de la rotation échoue, Secrets Manager retente l'intégralité du processus de rotation plusieurs fois.
Rubriques
- Rotation automatique pour les secrets de base de données (console)
- Rotation automatique pour les secrets non liés à la base de données (console)
- Rotation automatique (AWS CLI)
- Stratégies de rotation des fonctions Lambda
- Fonctions de rotation Lambda
- Modèles de fonctions de rotation
- Autorisations de rotation
- Accès au réseau pour la fonction de rotation Lambda
- Résolution des problèmes de rotation
