Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Imposta la rotazione di un singolo utente per Gestione dei segreti AWS
In questo tutorial, imparerai come impostare la rotazione a utente singolo per un segreto che contiene le credenziali del database. La *rotazione a utente singolo* è una strategia di rotazione in cui Secrets Manager aggiorna le credenziali di un utente sia nel segreto che nel database. Per ulteriori informazioni, consulta [Strategia di rotazione a utente singolo](rotation-strategy.md#rotating-secrets-one-user-one-password).
Al termine del tutorial, si consiglia di ripulire le risorse del tutorial. Non utilizzarle in un ambiente di produzione.
La rotazione di Secrets Manager utilizza una AWS Lambda funzione per aggiornare il segreto e il database. Per ulteriori informazioni sui costi di utilizzo della funzione Lambda, consulta la sezione [Prezzi](intro.md#asm_pricing).
**Contents**
+ [Permissions](#tutorials_rotation-single_permissions)
+ [Prerequisiti](#tutorials_rotation-single_step-setup)
+ [Fase 1: creazione di un utente del database Amazon RDS](#tutorials_rotation-single_step-dbuser)
+ [Fase 2: creazione di un segreto per le credenziali utente del database](#tutorials_rotation-single_step-rotate)
+ [Fase 3: esecuzione del test della password ruotata](#tutorials_rotation-single_step-connect-again)
+ [Fase 4: Eliminazione delle risorse](#tutorials_rotation-single_step-cleanup)
+ [Fasi successive](#tutorials_rotation-single_step-next)
## Permissions
Per i prerequisiti del tutorial, hai bisogno di autorizzazioni di amministrazione per il tuo Account AWS. In un ambiente di produzione, è consigliabile utilizzare ruoli diversi per ciascun passaggio. Ad esempio, un ruolo con le autorizzazioni dell'amministratore del database creerebbe il database Amazon RDS e un ruolo con autorizzazioni di amministrazione di rete configurerebbe il VPC e i gruppi di sicurezza. Per i passaggi del tutorial, suggeriamo di continuare a utilizzare la stessa identità.
Per informazioni su come configurare le autorizzazioni in un ambiente di produzione, consulta [Autenticazione e controllo degli accessi per Gestione dei segreti AWS](auth-and-access.md).
## Prerequisiti
Il prerequisito per questo tutorial è [Imposta la rotazione alternata degli utenti per Gestione dei segreti AWS](tutorials_rotation-alternating.md). Non eliminare le risorse alla fine del primo tutorial. Dopo questo tutorial, disporrai di un ambiente realistico con un database Amazon RDS e un segreto di Secrets Manager che contiene le credenziali di amministratore per il database. Hai anche un secondo segreto che contiene le credenziali per un utente del database, ma non lo usi in questo tutorial.
È inoltre configurata una connessione in MySQL Workbench per connettersi al database con le credenziali dell'amministratore.
## Fase 1: creazione di un utente del database Amazon RDS
Innanzitutto, è necessario un utente le cui credenziali saranno memorizzate nel segreto. Per creare l'utente, accedi al database Amazon RDS con le credenziali di amministratore archiviate in un segreto. Per semplicità, nel tutorial, si crea un utente con piena autorizzazione per un database. In un ambiente di produzione questo non succede normalmente e ti consigliamo di seguire il principio del privilegio minimo.
**Recuperare la password dell'amministratore**
1. Nella console Amazon RDS scegli il database.
1. Nella scheda **Configuration (Configurazione)**, in **Master Credentials ARN (ARN delle credenziali principali)**, scegli **Manage in Secrets Manager (gestisci in secrets manager)**.
Si apre la console Secrets Manager.
1. Nella pagina dei dettagli del segreto, scegli **Retrieve secret value** (Recupera il valore di un segreto).
1. La password viene visualizzata nella sezione **Secret value (valore segreto)**.
**Per creare un utente del database**
1. **In MySQL Workbench, fai clic con il pulsante destro del mouse sulla **SecretsManagerTutorial**connessione e quindi scegli Modifica connessione.**
1. Nella finestra di dialogo **Manage Server Connections** (Gestisci connessioni al server), per **Username** (Nome utente), inserisci **admin** e scegli **Close** (Chiudi).
1. Tornando in MySQL Workbench, scegli la connessione. **SecretsManagerTutorial**
1. Inserisci la password dell'amministratore che hai recuperato dal segreto.
1. In MySQL Workbench, nella finestra **Query**, inserisci i seguenti comandi (inclusa una password sicura) e quindi scegli **Execute** (Esegui). La funzione di rotazione verifica il segreto aggiornato utilizzando SELECT, quindi **dbuser** deve avere almeno quel privilegio.
```
CREATE USER 'dbuser'@'%' IDENTIFIED BY 'EXAMPLE-PASSWORD';
GRANT SELECT ON myDB . * TO 'dbuser'@'%';
```
Nella finestra **Output**, viene visualizzato l'esito positivo dei comandi.
## Fase 2: creazione di un segreto per le credenziali utente del database
Successivamente, creerai un segreto per archiviare le credenziali dell'utente appena creato e attiverai la rotazione automatica, inclusa una rotazione immediata. Secrets Manager ruota il segreto, il che significa che la password viene generata programmaticamente: nessun essere umano ha visto questa nuova password. L'avvio immediato della rotazione può anche aiutarti a determinare se la rotazione è impostata correttamente.
1. Apri la console Secrets Manager all'indirizzo [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Scegli **Archivia un nuovo segreto**.
1. Nella pagina **Choose secret type** (Scegli il tipo di segreto), effettua le seguenti operazioni:
1. Per **Secret type** (Tipo segreto), scegli **Credentials for Amazon RDS database** (Credenziali per il database Amazon RDS).
1. Per **Credentials** (Credenziali), inserisci il nome utente **dbuser** e la password inseritaper l'utente del database creato utilizzando MySQL Workbench.
1. Per **Database**, scegli **secretsmanagertutorialdb**.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Configure secret** (Configura il segreto), per **Secret name** (Nome del segreto), inserisci **SecretsManagerTutorialDbuser** e scegli **Next** (Successivo).
1. Nella pagina **Configure rotation** (Configura la rotazione), effetua le seguenti operazioni:
1. Attiva **Automatic rotation** (Rotazione automatica).
1. Per **Rotation schedule** (Pianificazione della rotazione), imposta una pianificazione di **Days** (Giorni): **2** Days with **Duration**: **2h** (2 giorni con durata: 2 h). Mantieni selezionato **Rotate immediately** (Ruota immediatamente).
1. Per **Rotation function** (Funzione di rotazione), scegli **Create a rotation function** (Crea una funzione di rotazione) e per il nome della funzione inserisci **tutorial-single-user-rotation**.
1. Per **Strategia di rotazione** scegli **Utente singolo**.
1. Scegli **Next (Successivo)**.
1. Nella pagina **Review** (Rivedi), scegli **Store** (Archivia).
Secrets Manager torna alla pagina dei dettagli segreti. Nella parte superiore della pagina, è possibile visualizzare lo stato della configurazione di rotazione. Secrets Manager utilizza CloudFormation per creare risorse come la funzione di rotazione Lambda e un ruolo di esecuzione che esegue la funzione Lambda. Al CloudFormation termine, il banner diventa **Segreto programmato per la rotazione**. La prima rotazione è completa.
## Fase 3: esecuzione del test della password ruotata
Dopo la prima rotazione segreta, che potrebbe richiedere alcuni secondi, è possibile verificare che il segreto contenga ancora credenziali valide. La password nel segreto è cambiata rispetto alle credenziali originali.
**Recuperare la nuova password dal segreto**
1. Apri la console Secrets Manager all'indirizzo [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Scegli **Secrets** (Segreti) e quindi scegli il segreto **SecretsManagerTutorialDbuser**.
1. Nella pagina **Secret details** (Dettagli del segreto), scorri e scegli **Retrieve secret value** (Recupera il valore del segreto).
1. Nella tabella **Key/value** (Chiave/valore), copia il **Secret value** (Valore segreto) per la **password**.
**Testare le credenziali**
1. **In MySQL Workbench, fai clic con il pulsante destro del mouse sulla **SecretsManagerTutorial**connessione e quindi scegli Modifica connessione.**
1. Nella finestra di dialogo **Manage Server Connections** (Gestisci connessioni al server), per **Username** (Nome utente), inserisci **dbuser** e scegli **Close** (Chiudi).
1. Tornando in MySQL Workbench, scegli la connessione. **SecretsManagerTutorial**
1. Nella finestra di dialogo **Open SSH Connection** (Apri connessione SSH), per **Password** incolla la password recuperata dal segreto, quindi scegli **OK**.
Se le credenziali sono valide, MySQL Workbench si apre alla pagina di progettazione del database.
## Fase 4: Eliminazione delle risorse
Per evitare potenziali addebiti, elimina il segreto creato in questo tutorial. Per istruzioni, consulta [Eliminare un Gestione dei segreti AWS segreto](manage_delete-secret.md).
Per ripulire le risorse create nel tutorial precedente, consulta [Fase 4: Eliminazione delle risorse](tutorials_rotation-alternating.md#tutorials_rotation-alternating_step-cleanup).
## Fasi successive
+ Ottieni informazioni su come recuperare i segreti nelle applicazioni. Per informazioni, consulta [Ottieni segreti da Gestione dei segreti AWS](retrieving-secrets.md).
+ Scopri altri programmi di rotazione. Per informazioni, consulta [Pianificazioni di rotazione](rotate-secrets_schedule.md).