本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Secrets Manager 秘密的受管輪換
<a name="rotate-secrets_managed"></a>

部分服務提供*受管輪換*，服務會在其中為您設定和管理輪換。使用受管輪換時，您不會使用 AWS Lambda 函數來更新資料庫中的秘密和登入資料。

下列服務提供受管輪換：
+ **Amazon Aurora** 為主要使用者憑證提供受管輪換。如需詳細資訊，請參閱《Amazon Aurora 使用者指南》**中的[使用 Amazon Aurora 和 AWS Secrets Manager進行密碼管理](https://docs.aws.amazon.com//AmazonRDS/latest/AuroraUserGuide/rds-secrets-manager.html)。
+ **Amazon ECS** Service Connect 為 AWS 私有憑證授權單位 TLS 憑證提供受管輪換。如需詳細資訊，請參閱《*Amazon Elastic Container Service 開發人員指南*》中的 [TLS with Service Connect](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-connect-tls.html)。
+ **Amazon RDS** 為主要使用者憑證提供受管輪換。如需詳細資訊，請參閱《Amazon RDS 使用者指南》**中的[使用 Amazon RDS 和 AWS Secrets Manager進行密碼管理](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-secrets-manager.html)。
+ **Amazon DocumentDB** 為主要使用者憑證提供受管輪換。如需詳細資訊，請參閱《[Amazon DocumentDB 使用者指南》中的使用 Amazon DocumentDB 進行密碼管理 AWS Secrets Manager](https://docs.aws.amazon.com/documentdb/latest/developerguide/docdb-secrets-manager.html)。 *Amazon DocumentDB *
+ **Amazon Redshift** 為管理員密碼提供受管輪換。如需詳細資訊，請參閱《*Amazon Redshift 管理指南*》中的[使用 AWS Secrets Manager管理 Amazon Redshift 管理員密碼](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-secrets-manager-integration.html)。
+ **受管外部秘密**為 Secrets Manager 合作夥伴持有的秘密提供受管輪換。如需詳細資訊，請參閱[使用 AWS Secrets Manager 受管外部秘密來管理第三方秘密](managed-external-secrets.md)。

**提示**  
如需所有其他類型的機密，請參閱 [由 Lambda 函式輪換](rotate-secrets_lambda.md)。

受管秘密的輪換通常會在一分鐘內完成。在輪換期間，擷取秘密的新連線可能會取得舊版的憑證。在應用程式中，我們強烈建議您遵循最佳實務，使用以應用程式要求的最低權限建立的資料庫使用者，而非使用主使用者。對於應用程式使用者，為取得最高的可用性，您可以使用[交替使用者輪換策略](rotation-strategy.md)。

對於 Secrets Manager 合作夥伴持有的秘密，

**變更受管輪換的排程**

1. 在 Secrets Manager 主控台中開啟受管機密。您可以遵循來自管理服務的連結，或在 Secrets Manager 主控台中[搜尋機密](service-linked-secrets.md)。

1. 在 **Rotation schedule** (輪換排程) 中，在 **Schedule expression builder** (排程表達式建置器)，或以 **Schedule expression** (排程表達式) 形式，輸入 UTC 時區的排程。Secrets Manager 會將您的排程儲存為 `rate()` 或 `cron()` 表達式。輪換時段會自動在午夜時開始，除非您指定 **Start time** (開始時間)。您可以每四小時輪換一次機密。如需詳細資訊，請參閱[輪換排程](rotate-secrets_schedule.md)。

1. (選用) 對於 **Window duration** (時段持續時間)，選擇您想要 Secrets Manager 輪換秘密的時段長度，例如，三個小時時段 **3h**。時段不得延伸到下一個輪換時段。如果您未指定 **Window duration** (時段持續時間)，則對於以小時為單位的輪換排程，時段會在一小時後自動關閉。對於以天為單位的輪換排程，時段會在一天結束時自動關閉。

1. 選擇**儲存**。

**變更受管輪換的排程 (AWS CLI)**
+ 呼叫 [https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/rotate-secret.html](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/rotate-secret.html)。下列範例會在每個月的第 1 天和第 15 天 16:00 和 18:00 (UTC) 之間進行。如需詳細資訊，請參閱[輪換排程](rotate-secrets_schedule.md)。

  ```
  aws secretsmanager rotate-secret \
      --secret-id MySecret \
      --rotation-rules \
          "{\"ScheduleExpression\": \"cron(0 16 1,15 * ? *)\", \"Duration\": \"2h\"}"
  ```