Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Rotazione gestita per AWS Secrets Manager i segreti
Alcuni servizi offrono la rotazione gestita, in cui il servizio configura e gestisce la rotazione per tuo conto. Con la rotazione gestita, non si utilizza alcuna AWS Lambda funzione per aggiornare il segreto e le credenziali nel database.
I seguenti servizi offrono una rotazione gestita:
Amazon Aurora offre una rotazione gestita per le credenziali degli utenti principali. Per ulteriori informazioni, consulta la sezione Gestione delle password con Amazon Aurora e AWS Secrets Manager nella Guida per l'utente di Amazon Aurora.
Amazon ECS Service Connect offre una rotazione gestita per i certificati AWS Private Certificate Authority TLS. Per ulteriori informazioni, consulta TLS with Service Connect nella Amazon Elastic Container Service Developer Guide.
Amazon RDS offre una rotazione gestita per le credenziali dell'utente principale. Per ulteriori informazioni, consulta la sezione Gestione delle password con Amazon RDS e AWS Secrets Manager nella Guida per l'utente di Amazon RDS.
Amazon Redshift offre una rotazione gestita per le password degli amministratori. Per ulteriori informazioni, consulta Gestione delle password di amministratore Amazon Redshift utilizzando AWS Secrets Manager nella Guida alla gestione di Amazon Redshift.
Suggerimento
Per altri tipi di segreti, consulta la sezione Rotazione tramite funzione Lambda.
La rotazione per i segreti gestiti in genere viene completata entro un minuto. Durante la rotazione, le nuove connessioni che recuperano il segreto potrebbero ottenere la versione precedente delle credenziali. Nelle applicazioni, si consiglia di seguire la best practice di utilizzare un utente del database creato con i privilegi minimi richiesti per l'applicazione, piuttosto che utilizzare l'utente master. Per gli utenti dell'applicazione, ai fini della massima disponibilità, è possibile utilizzare la strategia di rotazione a utenti alternati.
Per modificare la pianificazione della rotazione gestita
Apri il segreto gestito nella console di Secrets Manager. Puoi seguire un link dal servizio di gestione o cercare il segreto nella console di Secrets Manager.
-
In Rotation schedule (Pianificazione della rotazione), inserisci la tua pianificazione seguendo il fuso orario UTC nel Schedule expression builder (Generatore di espressioni di pianificazione) o come Schedule expression (Espressione di pianificazione). Gestione dei segreti memorizza la tua pianificazione come un'espressione
rate()
ocron()
. La finestra di rotazione inizia automaticamente a mezzanotte, a meno che non si specifichi un'ora di inizio. Puoi ruotare un segreto anche ogni quattro ore. Per ulteriori informazioni, consulta Pianificazioni di rotazione. -
(Facoltativo) Per Window duration (Durata della finestra), scegli la lunghezza della finestra durante la quale vuoi che Secrets Manager ruoti il tuo segreto, ad esempio
3h
per una finestra di tre ore. La finestra non deve continuare nella finestra di rotazione successiva. Se non si specifica la durata della finestra, per un programma di rotazione espresso in ore, la finestra si chiude automaticamente dopo un'ora. Per un programma di rotazione espresso in giorni, la finestra si chiude automaticamente alla fine della giornata. Selezionare Salva.
Per modificare la pianificazione della rotazione gestita (AWS CLI)
Chiama
rotate-secret
. L'esempio seguente mostra come ruotare il segreto tra le 16:00 e le 18:00 UTC del 1° e del 15° giorno del mese. Per ulteriori informazioni, consulta Pianificazioni di rotazione.aws secretsmanager rotate-secret \ --secret-id MySecret \ --rotation-rules "{\"ScheduleExpression\": \"cron(0 16 1,15 * ? *)\", \"Duration\": \"2h\"}"