Rotazione tramite funzione Lambda - AWS Secrets Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Rotazione tramite funzione Lambda

Per molti tipi di segreti, Secrets Manager utilizza una AWS Lambda funzione per aggiornare il segreto e il database o il servizio. Per ulteriori informazioni sui costi di utilizzo della funzione Lambda, consulta la sezione Prezzi.

Per alcuni Segreti gestiti da altri servizi, si utilizza la rotazione gestita. Per utilizzare Rotazione gestita, è necessario dapprima creare il segreto tramite il servizio di gestione.

Durante la rotazione, Secrets Manager registra gli eventi che indicano lo stato della rotazione. Per ulteriori informazioni, consulta Registra AWS Secrets Manager eventi con AWS CloudTrail.

Per ruotare un segreto, Secrets Manager chiama una funzione Lambda in base alla pianificazione di rotazione impostata. Se aggiorni anche manualmente il valore segreto mentre è impostata la rotazione automatica, Secrets Manager la considera una rotazione valida quando calcola la data di rotazione successiva.

Durante la rotazione, Secrets Manager chiama la stessa funzione diverse volte, ogni volta con parametri diversi. Secrets Manager richiama la funzione con la seguente struttura di parametri di JSON richiesta: 

{
    "Step" : "request.type",
    "SecretId" : "string",
    "ClientRequestToken" : "string",
    "RotationToken" : "string"
}
Parametri:

  • Fase: la fase di rotazione:create_secret, set_secrettest_secret, o. finish_secret Per ulteriori informazioni, consulta Quattro fasi in una funzione di rotazione.

  • SecretId— Il segreto ARN della rotazione.

  • ClientRequestToken— Un identificatore univoco per la nuova versione del segreto. Questo valore aiuta a garantire l'idempotenza. Per ulteriori informazioni, vedere PutSecretValue: ClientRequestToken nel Reference.AWS Secrets Manager API

  • RotationToken— Un identificatore univoco che indica l'origine della richiesta. Richiesto per la rotazione segreta utilizzando un ruolo presunto o una rotazione tra account, in cui si ruota un segreto in un account utilizzando una funzione di rotazione Lambda in un altro account. In entrambi i casi, la funzione di rotazione assume un IAM ruolo per chiamare Secrets Manager, quindi Secrets Manager utilizza il token di rotazione per convalidare l'identità del IAM ruolo.

Se una qualsiasi fase di rotazione fallisce, Secrets Manager riprova l'intero processo di rotazione più volte.

Argomenti