依 Lambda 函數輪換 - AWS Secrets Manager

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

依 Lambda 函數輪換

對於許多類型的秘密,Secrets Manager 會使用 AWS Lambda 函數來更新秘密和資料庫或服務。如需有關使用 Lambda 函數成本的資訊,請參閱 定價

對於部分 由其他服務管理的秘密,您可以使用受管輪換。若要使用 受管輪換,您可以先透過管理服務建立機密。

輪換期間,Secrets Manager 會記錄表示輪換狀態的事件。如需詳細資訊,請參閱記錄 AWS Secrets Manager 事件 AWS CloudTrail

若要輪換秘密,Secrets Manager 會根據您設定的輪換排程呼叫 Lambda 函數。如果您在設定自動輪換時也手動更新機密值,則 Secrets Manager 會在計算下一個輪替日期時將其視為有效輪換。

輪換期間,Secrets Manager 會多次呼叫相同的函數,且每次使用不同的參數。Secrets Manager 會使用下列參數JSON請求結構叫用 函數:

{ "Step" : "request.type", "SecretId" : "string", "ClientRequestToken" : "string", "RotationToken" : "string" }
參數:
  • 步驟 – 輪換步驟:create_secrettest_secretset_secretfinish_secret。如需詳細資訊,請參閱輪換函數中的四個步驟

  • SecretId – 要輪換ARN的秘密的 。

  • ClientRequestToken – 新版本秘密的唯一識別符。此值有助於確保等冪。如需詳細資訊,請參閱 AWS Secrets Manager API 參考中的 PutSecretValue: ClientRequestToken

  • RotationToken – 唯一識別符,指出請求的來源。使用 擔任的角色或跨帳戶輪換進行秘密輪換時需要,您可以在其中使用另一個帳戶中的 Lambda 輪換函數輪換一個帳戶中的秘密。在這兩種情況下,輪換函數會擔任 IAM角色來呼叫 Secrets Manager,然後 Secrets Manager 會使用輪換權杖來驗證IAM角色身分。

如果任何輪換步驟失敗,Secrets Manager 會多次重試整個輪換過程。