本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Secrets Manager 機密的受管理輪換
部分服務提供受管輪換,服務會在其中為您設定和管理輪換。透過受管理的輪換,您不會使用 AWS Lambda 函數來更新資料庫中的密碼和認證。
下列服務提供受管輪換:
Amazon Aurora 為主要使用者登入資料提供受管輪換。如需詳細資訊,請參閱《Amazon Aurora 使用者指南》中的使用 Amazon Aurora 和 AWS Secrets Manager進行密碼管理。
Amazon ECS 服務 Connect 提供 AWS Private Certificate Authority TLS 憑證的受管輪替。如需詳細資訊,請參閱 Amazon 彈性容器服務開發人員指南中的 TLS 與服務 Connect。
Amazon RDS 為主要使用者登入資料提供受管輪換。如需詳細資訊,請參閱《Amazon RDS 使用者指南》中的使用 Amazon RDS 和 AWS Secrets Manager進行密碼管理。
Amazon Redshift 為管理員密碼提供受管理輪換。如需詳細資訊,請參閱《Amazon Redshift 管理指南》中的使用 AWS Secrets Manager管理 Amazon Redshift 管理員密碼。
提示
如需所有其他類型的機密,請參閱 由 Lambda 函數旋轉。
受管秘密的輪換通常會在一分鐘內完成。在輪換期間,擷取秘密的新連線可能會取得舊版的憑證。在應用程式中,我們強烈建議您遵循最佳實務,使用以應用程式要求的最低權限建立的資料庫使用者,而非使用主使用者。對於應用程式使用者,為取得最高的可用性,您可以使用交替使用者輪換策略。
變更管理輪換的排程
在 Secrets Manager 主控台中開啟受管機密。您可以遵循來自管理服務的連結,或在 Secrets Manager 主控台中搜尋機密。
-
在 Rotation schedule (輪換排程) 中,在 Schedule expression builder (排程表達式建置器),或以 Schedule expression (排程表達式) 形式,輸入 UTC 時區的排程。Secrets Manager 會將您的排程儲存為
rate()或cron()表達式。輪換時段會自動在午夜時開始,除非您指定 Start time (開始時間)。您可以每四小時輪換一次秘密。如需詳細資訊,請參閱 旋轉明細表。 -
(選用) 對於 Window duration (時段持續時間),選擇您想要 Secrets Manager 輪換秘密的時段長度,例如,三個小時時段
3h。時段不得延伸到下一個輪換時段。如果您未指定 Window duration (時段持續時間),則對於以小時為單位的輪換排程,時段會在一小時後自動關閉。對於以天為單位的輪換排程,時段會在一天結束時自動關閉。 選擇儲存。
變更受管輪換的排程 (AWS CLI)
呼叫
rotate-secret。下列範例會在每個月的第 1 天和第 15 天 16:00 和 18:00 (UTC) 之間進行。如需更多詳細資訊,請參閱 旋轉明細表。aws secretsmanager rotate-secret \ --secret-id MySecret \ --rotation-rules "{\"ScheduleExpression\": \"cron(0 16 1,15 * ? *)\", \"Duration\": \"2h\"}"
