Rotasi oleh fungsi Lambda - AWS Secrets Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Rotasi oleh fungsi Lambda

Untuk banyak jenis rahasia, Secrets Manager menggunakan AWS Lambda fungsi untuk memperbarui rahasia dan database atau layanan. Untuk informasi tentang biaya penggunaan fungsi Lambda, lihat. Harga

Untuk beberapaRahasia dikelola oleh layanan lain, Anda menggunakan rotasi terkelola. Untuk menggunakanRotasi terkelola, Anda pertama kali membuat rahasia melalui layanan pengelolaan.

Selama rotasi, Secrets Manager mencatat peristiwa yang menunjukkan keadaan rotasi. Untuk informasi selengkapnya, lihat Log AWS Secrets Manager peristiwa dengan AWS CloudTrail.

Untuk memutar rahasia, Secrets Manager memanggil fungsi Lambda sesuai dengan jadwal rotasi yang Anda atur. Jika Anda juga memperbarui nilai rahasia Anda secara manual saat rotasi otomatis diatur, maka Secrets Manager menganggap bahwa rotasi yang valid ketika menghitung tanggal rotasi berikutnya.

Selama rotasi, Secrets Manager memanggil fungsi yang sama beberapa kali, setiap kali dengan parameter yang berbeda. Secrets Manager memanggil fungsi dengan struktur JSON permintaan parameter berikut: 

{
    "Step" : "request.type",
    "SecretId" : "string",
    "ClientRequestToken" : "string",
    "RotationToken" : "string"
}
Parameter:

  • Langkah — Langkah rotasi:create_secret,set_secret,test_secret, ataufinish_secret. Untuk informasi selengkapnya, lihat Empat langkah dalam fungsi rotasi.

  • SecretId— ARN Rahasia untuk memutar.

  • ClientRequestToken— Pengidentifikasi unik untuk versi baru rahasia. Nilai ini membantu memastikan idempotensi. Untuk informasi lebih lanjut, lihat PutSecretValue: ClientRequestToken di AWS Secrets Manager APIReferensi.

  • RotationToken— Pengidentifikasi unik yang menunjukkan sumber permintaan. Diperlukan untuk rotasi rahasia menggunakan peran yang diasumsikan atau rotasi lintas akun, di mana Anda memutar rahasia di satu akun dengan menggunakan fungsi rotasi Lambda di akun lain. Dalam kedua kasus, fungsi rotasi mengasumsikan IAM peran untuk memanggil Secrets Manager dan kemudian Secrets Manager menggunakan token rotasi untuk memvalidasi identitas IAM peran.

Jika ada langkah rotasi yang gagal, Secrets Manager mencoba ulang seluruh proses rotasi beberapa kali.

Topik