As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Configure a rotação automática para segredos da AmazonRDS, Amazon Aurora, Amazon Redshift ou Amazon DocumentDB
Este tutorial descreve como configurar segredos Rotação por função Lambda de banco de dados. Alternância é o processo de atualizar periodicamente um segredo. Quando o Secrets Manager alterna um segredo, você atualiza as credenciais tanto no segredo como no banco de dados. No Secrets Manager, você pode configurar a alternância automática para seus segredos de banco de dados.
Para configurar a alternância usando o console, você precisa primeiro escolher uma estratégia de alternância. Em seguida, você configura o segredo para a alternância, o qual cria uma função de alternância do Lambda, caso você ainda não tenha uma. O console também define permissões para a função de execução da função Lambda. A última etapa é garantir que a função de alternância do Lambda possa acessar o Secrets Manager e seu banco de dados utilizando a rede.
Atenção
Para ativar a rotação automática, você deve ter permissão para criar uma função de IAM execução para a função de rotação do Lambda e anexar uma política de permissão a ela. Ambas as permissões iam:CreateRole
e iam:AttachRolePolicy
são necessárias. A concessão dessas permissões permite que uma identidade conceda a si mesma qualquer permissão.
Etapas:
- Etapa 1: escolher uma estratégia de alternância e (opcionalmente) criar um segredo de superusuário
- Etapa 2: configurar a alternância e criar uma função de alternância
- Etapa 3: (Opcional) Defina condições de permissões adicionais na função de alternância
- Etapa 4: configurar acesso à rede para a função de alternância
- Próximas etapas
Etapa 1: escolher uma estratégia de alternância e (opcionalmente) criar um segredo de superusuário
Para obter informações sobre as estratégias oferecidas pelo Secrets Manager, consulteEstratégias de rotação da função Lambda.
Se você escolher a estratégia de usuários alternados, deverá Crie segredos e armazenar nele as credenciais de superusuário do banco de dados. Você precisa de um segredo com credenciais de superusuário porque a alternância clona o primeiro usuário e a maioria dos usuários não tem essa permissão. Observe que o Amazon RDS Proxy não suporta a estratégia de usuários alternados.
Etapa 2: configurar a alternância e criar uma função de alternância
Para ativar a rotação de um segredo da AmazonRDS, Amazon DocumentDB ou Amazon Redshift
Abra o console do Secrets Manager em https://console.aws.amazon.com/secretsmanager/
. -
Na página Secrets (Segredos), escolha o segredo.
-
Na página Secret details (Detalhes do segredo), na seção Rotation configuration (Configuração da alternância), escolha Edit rotation (Editar alternância).
-
Na caixa de diálogo Edit rotation configuration (Editar configuração da alternância), siga estas etapas:
-
Ative a Automatic rotation (Alternância automática).
-
Em Programação de rotação, insira sua agenda no fuso UTC horário no construtor de expressões de programação ou como uma expressão de programação. O Secrets Manager armazena sua programação como uma expressão
rate()
oucron()
. A janela de alternância começa automaticamente à 0h, a menos que você especifique um horário de início. Você pode alternar um segredo com intervalos a partir de quatro horas. Para obter mais informações, consulte Cronogramas de rotação. -
(Opcional) Em Window duration (Duração da janela), escolha a duração da janela em que deseja que o Secrets Manager alterne o seu segredo, por exemplo,
3h
, por uma janela de três horas. A janela não pode se estender até a próxima janela de alternância. Se você não especificar Window duration (Duração da janela) para uma programação de alternância em horas, a janela será automaticamente encerrada após uma hora. Para uma programação de alternância em dias, a janela terminará automaticamente no final do dia. -
(Opcional) Escolha Rotate immediately when the secret is stored (Alternar imediatamente quando o segredo for armazenado) para alternar o seu segredo assim que as suas alterações forem salvas. Se você desmarcar a caixa de seleção, a primeira alternância começará no cronograma definido.
Se a alternância falhar, por exemplo, porque as etapas 3 e 4 ainda não foram concluídas, o Secrets Manager repetirá o processo de alternância várias vezes.
-
Em Rotation function (Função de alternância), execute uma das ações a seguir:
-
Selecione Create a new Lambda function (Criar uma nova função Lambda) e insira um nome para sua nova função. O Secrets Manager adiciona
SecretsManager
ao início do nome da função. O Secrets Manager cria a função com base no modelo apropriado e define as permissões necessárias para a função de execução do Lambda. -
Escolha Use an existing Lambda function (Usar uma função Lambda existente) para reutilizar uma função de alternância usada para outro segredo. As funções de rotação listadas em VPCConfigurações recomendadas têm o mesmo VPC grupo de segurança do banco de dados, o que ajuda a função a acessar o banco de dados.
-
-
Em Estratégia de alternância, escolha a estratégia de Usuário único ou de Usuários alternados. Para obter mais informações, consulte Etapa 1: escolher uma estratégia de alternância e (opcionalmente) criar um segredo de superusuário.
-
Escolha Salvar.
Etapa 3: (Opcional) Defina condições de permissões adicionais na função de alternância
Na política de recursos para sua função de alternância, recomendamos incluir a chave de contexto aws:SourceAccount
para ajudar a evitar que o Lambda seja usado como um confused deputy. Para alguns AWS serviços, para evitar o cenário confuso de deputados, AWS recomenda que você use as chaves de condição aws:SourceArn
e as chaves de condição aws:SourceAccount
globais. No entanto, se você incluir a aws:SourceArn
condição em sua política de função de rotação, a função de rotação só poderá ser usada para alternar o segredo especificado por elaARN. Recomendamos que inclua apenas a chave de contexto aws:SourceAccount
, de modo que possa usar a função de alternância para vários segredos.
Para atualizar sua política de recursos da função de alternância
No console do Secrets Manager, escolha seu segredo e, em seguida, na página de detalhes, em Rotation configuration (Configuração de alternância), escolha a função de alternância do Lambda. Abra o console do Lambda.
Siga as instruções em Usar políticas baseadas em recursos para o Lambda para adicionar uma condição
aws:sourceAccount
."Condition": { "StringEquals": { "AWS:SourceAccount": "
123456789012
" } },
Se o segredo for criptografado com uma KMS chave diferente da Chave gerenciada pela AWS
aws/secretsmanager
, o Secrets Manager concede à função de execução do Lambda permissão para usar a chave. Você pode usar o contexto de ARN criptografia secreta para limitar o uso da função de descriptografia, de forma que a função da função de rotação só tenha acesso para descriptografar o segredo que é responsável pela rotação.
Para atualizar o papel de execução da função de alternância
Na função de alternância do Lambda, escolha Configuração e, em Função de execução, escolha o Nome da função.
Siga as instruções em Modifying a role permissions policy (Modificar uma política de permissões de função) para adicionar uma condição
kms:EncryptionContext:SecretARN
."Condition": { "StringEquals": { "kms:EncryptionContext:SecretARN": "
SecretARN
" } },
Etapa 4: configurar acesso à rede para a função de alternância
Para obter mais informações, consulte Acesso à rede para a função de rotação Lambda.
Próximas etapas
Consulte Solucionar problemas de rotação AWS Secrets Manager.