依 Lambda 函數輪換

對於許多類型的秘密，Secrets Manager 會使用 AWS Lambda 函數來更新秘密和資料庫或服務。如需有關使用 Lambda 函數成本的資訊，請參閱定價。

對於部分由其他服務管理的秘密，您可以使用受管輪換。若要使用受管輪換，您可以先透過管理服務建立機密。

輪換期間，Secrets Manager 會記錄表示輪換狀態的事件。如需詳細資訊，請參閱記錄 AWS Secrets Manager 事件 AWS CloudTrail。

若要輪換秘密，Secrets Manager 會根據您設定的輪換排程呼叫 Lambda 函數。如果您在設定自動輪換時也手動更新機密值，則 Secrets Manager 會在計算下一個輪替日期時將其視為有效輪換。

輪換期間，Secrets Manager 會多次呼叫相同的函數，且每次使用不同的參數。Secrets Manager 會使用下列參數JSON請求結構叫用函數：


{
    "Step" : "request.type",
    "SecretId" : "string",
    "ClientRequestToken" : "string",
    "RotationToken" : "string"
}

步驟 – 輪換步驟：create_secret、test_secret、 set_secret或 finish_secret。如需詳細資訊，請參閱輪換函數中的四個步驟。
SecretId – 要輪換ARN的秘密的。
ClientRequestToken – 新版本秘密的唯一識別符。此值有助於確保意識不清。如需詳細資訊，請參閱 AWS Secrets Manager API 參考 中的 PutSecretValue： ClientRequestToken。
RotationToken – 唯一識別符，指示請求的來源。對於跨帳戶輪換（當您使用另一個帳戶中的 Lambda 輪換函數輪換一個帳戶中的秘密），輪換函數會擔任呼叫 Secrets Manager IAM的角色，Secrets Manager 會使用輪換權杖驗證身分。

如果任何輪換步驟失敗，Secrets Manager 會多次重試整個輪換過程。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

受管輪換

資料庫秘密的自動輪換 (主控台)