Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Résoudre les problèmes de rotation AWS Secrets Manager
Pour un grand nombre de services, Secrets Manager utilise une fonction Lambda afin d'effectuer la rotation des secrets. Pour de plus amples informations, veuillez consulter [Rotation par fonction Lambda](rotate-secrets_lambda.md). La fonction de rotation Lambda interagit avec la base de données ou le service auquel le secret est destiné, ainsi qu'avec Secrets Manager. Lorsque la rotation ne fonctionne pas comme prévu, vous devez d'abord vérifier les CloudWatch journaux.
**Note**
Certains services peuvent effectuer la gestion des secrets à votre place, notamment la gestion de la rotation automatique. Pour de plus amples informations, veuillez consulter [Rotation gérée pour les AWS Secrets Manager secrets](rotate-secrets_managed.md).
**Topics**
+ [Comment résoudre les défaillances de rotation secrètes dans les fonctions AWS Lambda](#troubleshooting-secret-rotation-failures)
+ [Aucune activité après « Found credentials in environment variables » (Informations d'identification trouvées dans les variables d'environnement)](#troubleshoot_rotation_timing-out)
+ [Aucune activité après « createSecret »](#troubleshoot_rotation_createSecret)
+ [Erreur : « L'accès à KMS n'est pas autorisé »](#troubleshoot_rotation_kms-key)
+ [Erreur : « Key is missing from secret JSON » (Le fichier JSON secret ne contient pas de clé)](#tshoot-lambda-mismatched-secretvalue)
+ [Erreur : « SetSecret: Unable to log into database » (SetSecret : connexion à la base de données impossible)](#troubleshoot_rotation_setSecret)
+ [Erreur : « Impossible d'importer le module ''lambda\$1function'' »](#tshoot-python-version)
+ [Mise à jour d'une fonction de rotation existante depuis Python 3.7 vers 3.9](#troubleshoot_rotation_python39)
+ [Mettre à niveau une fonction de rotation existante de Python 3.9 à 3.10](#troubleshoot_rotation_python_310)
+ [AWS Lambda rotation secrète en cas d'`PutSecretValue`échec](#troubleshoot_rotation_putsecretvalue)
+ [Erreur : « Erreur lors de l'exécution de Lambda ** pendant l'**étape »](#concurrency-related-failures)
## Comment résoudre les défaillances de rotation secrètes dans les fonctions AWS Lambda
Si vous rencontrez des échecs de rotation secrets avec vos fonctions Lambda, suivez les étapes ci-dessous pour résoudre le problème.
### Causes possibles :
+ Exécutions simultanées insuffisantes pour la fonction Lambda
+ Conditions de course dues aux multiples appels d'API pendant la rotation
+ Logique de fonction Lambda incorrecte
+ Problèmes de mise en réseau entre la fonction Lambda et la base de données
### Étapes générales de résolution des problèmes
1. Analyser CloudWatch les journaux :
+ Recherchez des messages d'erreur spécifiques ou des comportements inattendus dans les journaux des fonctions Lambda
+ Vérifiez que toutes les étapes de rotation (**CreateSecret****SetSecret**,**TestSecret**,,**FinishSecret**) sont tentées
1. Passez en revue les appels d'API pendant la rotation :
+ Évitez d'effectuer des appels d'API mutants sur le secret pendant la rotation Lambda
+ Assurez-vous qu'il n'y a aucune condition raciale entre les **PutSecretValue** appels **RotateSecret** et
1. Vérifiez la logique de la fonction Lambda :
+ Vérifiez que vous utilisez le dernier AWS exemple de code pour la rotation secrète
+ Si vous utilisez un code personnalisé, consultez-le pour gérer correctement toutes les étapes de rotation
1. Vérifiez la configuration du réseau :
+ Vérifiez que les règles du groupe de sécurité autorisent la fonction Lambda à accéder à la base de données
+ Garantir un accès approprié au point de terminaison VPC ou au point de terminaison public pour Secrets Manager
1. Testez les versions secrètes :
+ Vérifiez que la AWSCURRENT version du secret autorise l'accès à la base de données
+ Vérifiez si AWSPREVIOUS nos AWSPENDING versions sont valides
1. Effacer les rotations en attente :
+ Si la rotation échoue systématiquement, effacez l'étiquette de AWSPENDING mise en scène et réessayez la rotation
1. Vérifiez les paramètres de simultanéité Lambda :
+ Vérifiez que les paramètres de simultanéité sont adaptés à votre charge de travail
+ Si vous suspectez des problèmes de simultanéité, consultez la section « Résolution des problèmes de rotation liés à la simultanéité »
## Aucune activité après « Found credentials in environment variables » (Informations d'identification trouvées dans les variables d'environnement)
Si rien ne se passe après « Found credentials in environment variables » (Informations d'identification trouvées dans les variables d'environnement) et que la durée de la tâche est longue, par exemple si elle dépasse le délai Lambda par défaut de 30 000 ms, il se peut que la fonction Lambda expire alors qu'elle essaie d'atteindre le point de terminaison Secrets Manager.
Votre fonction de rotation Lambda doit être en mesure d'accéder à un point de terminaison Secrets Manager. Si votre fonction Lambda peut accéder à Internet, vous pouvez utiliser un point de terminaison public. Pour trouver un point de terminaison, consultez [AWS Secrets Manager points de terminaison](asm_access.md#endpoints).
Si votre fonction Lambda s'exécute dans un VPC qui ne dispose pas d'un accès Internet, nous vous recommandons de configurer les points de terminaison privés du service Secrets Manager dans votre VPC. Votre VPC peut ensuite intercepter les demandes adressées au point de terminaison régional public et les rediriger vers le point de terminaison privé. Pour de plus amples informations, veuillez consulter [Points de terminaison de VPC (AWS PrivateLink)](vpc-endpoint-overview.md).
Vous pouvez accorder à votre fonction Lambda un accès au point de terminaison public Secrets Manager en ajoutant une [Passerelle NAT](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html) ou une [passerelle Internet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html) à votre VPC, ce qui permet au trafic de votre VPC d'atteindre le point de terminaison public. En procédant ainsi, votre VPC est exposé à certains risques dans la mesure où une adresse IP pour la passerelle peut être attaquée depuis le réseau Internet public.
## Aucune activité après « createSecret »
Les problèmes suivants peuvent entraîner l'arrêt de la rotation après createSecret :
**Le réseau VPC n'autorise ACLs pas le trafic HTTPS entrant et sortant.**
Pour plus d'informations, consultez la section [Contrôler le trafic vers les sous-réseaux à l'aide du réseau ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) dans le guide de l'*utilisateur Amazon VPC.*
**La configuration du délai d'expiration de la fonction Lambda est trop courte pour effectuer la tâche. **
Pour plus d'informations, consultez [Configuration des options de fonction Lambda](https://docs.aws.amazon.com/lambda/latest/dg/configuration-function-common.html) dans le *Guide du développeur AWS Lambda *.
**Le point de terminaison VPC Secrets Manager n'autorise pas l'entrée du VPC dans CIDRs les groupes de sécurité assignés. **
Pour plus d'informations, consultez la rubrique [Contrôler le trafic vers les ressources à l'aide de groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) dans le *Guide de l'utilisateur Amazon VPC*.
**La stratégie de point de terminaison d'un VPC Secrets Manager n'autorise pas Lambda à utiliser le point de terminaison d'un VPC. **
Pour de plus amples informations, veuillez consulter [Utilisation d'un point de AWS Secrets Manager terminaison VPC](vpc-endpoint-overview.md).
**Le secret utilise la rotation des utilisateurs en alternance, le secret du superutilisateur est géré par Amazon RDS et la fonction Lambda ne peut pas accéder à l'API RDS.**
Pour la [rotation des utilisateurs en alternance](rotation-strategy.md#rotating-secrets-two-users) lorsque le secret du superutilisateur est [géré par un autre service AWS](service-linked-secrets.md), la fonction de rotation Lambda doit pouvoir appeler le point de terminaison du service pour obtenir les informations de connexion à la base de données. Nous vous recommandons de configurer un point de terminaison d'un VPC pour le service de base de données. Pour en savoir plus, consultez :
+ [API Amazon RDS et points de terminaison d'un VPC d'interface](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/vpc-interface-endpoints.html) dans le *Guide de l'utilisateur Amazon RDS*.
+ [Utilisation des points de terminaison VPC](https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-working-with-endpoints.html) dans le *Guide de gestion Amazon Redshift*.
## Erreur : « L'accès à KMS n'est pas autorisé »
Si vous voyez `ClientError: An error occurred (AccessDeniedException) when calling the GetSecretValue operation: Access to KMS is not allowed`, la fonction de rotation n'est pas autorisée à déchiffrer le secret à l'aide de la clé KMS qui a été utilisée pour le chiffrer. La stratégie d'autorisation peut contenir une condition qui limite le contexte de chiffrement à un secret spécifique. Pour plus d'informations sur l'autorisation requise, veuillez consulter la rubrique [Déclaration de stratégie pour une clé gérée par le client](rotating-secrets-required-permissions-function.md#rotating-secrets-required-permissions-function-cust-key-example).
## Erreur : « Key is missing from secret JSON » (Le fichier JSON secret ne contient pas de clé)
Une fonction de rotation Lambda nécessite que la valeur de secret se trouve dans une structure JSON spécifique. Si vous voyez cette erreur, il se peut que le fichier JSON ne dispose pas d'une clé à laquelle la fonction de rotation a essayé d'accéder. Pour plus d'informations sur la structure JSON de chaque type de secret, consultez [Structure JSON des AWS Secrets Manager secrets](reference_secret_json_structure.md).
## Erreur : « SetSecret: Unable to log into database » (SetSecret : connexion à la base de données impossible)
Les problèmes suivants peuvent entraîner cette erreur :
**La fonction de rotation ne peut pas accéder à la base de données.**
Si la durée de la tâche est longue, par exemple plus de 5 000 ms, il est possible que la fonction de rotation Lambda ne parvienne pas à accéder à la base de données via le réseau.
Si votre base de données ou votre service est en cours d'exécution sur une instance Amazon EC2 dans un VPC, nous vous recommandons de configurer votre fonction Lambda de sorte qu'elle s'exécute dans le même VPC. La fonction de rotation peut alors communiquer directement avec votre service. Pour plus d'informations, consultez [Configuring VPC access (Configuration de l'accès VPC)](https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html#vpc-configuring).
Pour permettre à la fonction Lambda d'accéder à la base de données ou au service, vous devez vous assurer que les groupes de sécurité attachés à votre fonction de rotation Lambda autorisent les connexions sortantes vers la base de données ou le service. Vous devez également vous assurer que les groupes de sécurité attachés à votre base de données ou service autorisent les connexions entrantes depuis la fonction de rotation Lambda.
**Les informations d'identification contenues dans le secret sont incorrectes.**
Si la durée de la tâche est courte, il se peut que la fonction de rotation Lambda ne parvienne pas à s'authentifier à l'aide des informations d'identification contenues dans le secret. Vérifiez les informations d'identification en vous connectant manuellement avec les informations contenues dans les `AWSPREVIOUS` versions `AWSCURRENT` et du secret à l'aide de la AWS CLI commande [https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-secret-value.html](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-secret-value.html).
**La base de données utilise `scram-sha-256` pour crypter les mots de passe.**
Si votre base de données est Aurora PostgreSQL version 13 ou une version plus récente et utilise `scram-sha-256` pour crypter les mots de passe, mais que la fonction de rotation utilise la `libpq` version 9 ou une version moins récente qui ne prend pas en charge `scram-sha-256`, la fonction de rotation ne peut pas se connecter à la base de données.
**Pour déterminer quels utilisateurs de base de données utilisent le chiffrement `scram-sha-256`**
+ Consultez la section *Vérification de la présence d'utilisateurs utilisant des mots de passe* (français non garanti) dans le journal [SCRAM Authentication (Authentification SCRAM ) dans RDS pour PostgreSQL 13](https://aws.amazon.com/blogs/database/scram-authentication-in-rds-for-postgresql-13/) (français non garanti).
**Pour déterminer quelle version de `libpq` votre fonction de rotation utilise**
1. Sur un ordinateur Linux, sur la console Lambda, accédez à votre fonction de rotation et téléchargez le package de déploiement. Décompressez le fichier zip dans un répertoire de travail.
1. Dans le répertoire de travail d'une ligne de commande, exécutez :
`readelf -a libpq.so.5 | grep RUNPATH`
1. Si vous voyez la chaîne *`PostgreSQL-9.4.x`*, ou toute version majeure inférieure à 10, cela signifie que la fonction de rotation n'est pas prise en charge `scram-sha-256`.
+ Sortie pour une fonction de rotation qui ne prend pas en charge `scram-sha-256` :
`0x000000000000001d (RUNPATH) Library runpath: [/local/p4clients/pkgbuild-a1b2c/workspace/build/PostgreSQL/PostgreSQL-9.4.x_client_only.123456.0/AL2_x86_64/DEV.STD.PTHREAD/build/private/tmp/brazil-path/build.libfarm/lib:/local/p4clients/pkgbuild-a1b2c/workspace/src/PostgreSQL/build/private/install/lib]`
+ Sortie pour une fonction de rotation prenant en charge `scram-sha-256` :
`0x000000000000001d (RUNPATH) Library runpath: [/local/p4clients/pkgbuild-a1b2c/workspace/build/PostgreSQL/PostgreSQL-10.x_client_only.123456.0/AL2_x86_64/DEV.STD.PTHREAD/build/private/tmp/brazil-path/build.libfarm/lib:/local/p4clients/pkgbuild-a1b2c/workspace/src/PostgreSQL/build/private/install/lib]`
+ Sortie pour une fonction de rotation prenant en charge `scram-sha-256` :
`0x000000000000001d (RUNPATH) Library runpath: [/local/p4clients/pkgbuild- a1b2c /workspace/build/PostgreSQL/PostgreSQL-14.x_client_only. 123456 .0/AL2_x86_64/DEV.STD.PTHREAD/build/private/tmp/brazil-path/build.libfarm/lib:/local/p4clients/pkgbuild- a1b2c /workspace/src/PostgreSQL/build/private/install/lib]`
+ Sortie pour une fonction de rotation prenant en charge `scram-sha-256` :
`0x000000000000001d (RUNPATH) Library runpath: [/local/p4clients/pkgbuild- a1b2c/workspace/build/PostgreSQL/PostgreSQL- 14.x_client_only.123456.0/AL2_x86_64/DEV.STD.PTHREAD/build/private/tmp/brazil- path/build.libfarm/lib:/local/p4clients/pkgbuild- a1b2c/workspace/src/PostgreSQL/build/private/install/lib]`
Si vous avez configuré la rotation secrète automatique avant le 30 décembre 2021, votre fonction de rotation associée à une version antérieure ne sera `libpq` pas prise en charge`scram-sha-256`. Afin de prendre en charge `scram-sha-256`, vous devez [recréer votre fonction de rotation](rotate-secrets_turn-on-for-db.md).
**La base de données nécessite un SSL/TLS accès.**
Si votre base de données nécessite une SSL/TLS connexion, mais que la fonction de rotation utilise une connexion non chiffrée, elle ne peut pas se connecter à la base de données. Les fonctions de rotation pour Amazon RDS (sauf Oracle et Db2) et Amazon DocumentDB utilisent automatiquement le protocole SSL (Secure Socket Layer) ou le protocole TLS (Transport Layer Security) pour se connecter à votre base de données, si elle est disponible. Sinon, elles utilisent une connexion non chiffrée.
Si vous avez configuré la rotation secrète automatique avant le 20 décembre 2021, votre fonction de rotation est peut-être basée sur un modèle antérieur qui ne le prenait pas en chargeSSL/TLS. To support connections that use SSL/TLS. Vous devez donc [recréer votre fonction de rotation](rotate-secrets_turn-on-for-db.md).
**Pour déterminer quand votre fonction de rotation a été créée**
1. Dans la console Secrets Manager [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/), ouvrez votre secret. Dans la section **Rotation configuration** (Configuration de la rotation), sous **Lambda rotation function** (Fonction de rotation Lambda), vous pouvez voir **Lambda function ARN** (ARN de la fonction Lambda), par exemple, `arn:aws:lambda:aws-region:123456789012:function:SecretsManagerMyRotationFunction `. Copiez le nom de la fonction à partir de la fin de l'ARN. Dans l'exemple présent, il s'agit de ` SecretsManagerMyRotationFunction `.
1. Dans la AWS Lambda console [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/), sous **Fonctions**, collez le nom de votre fonction Lambda dans le champ de recherche, choisissez Enter, puis choisissez la fonction Lambda.
1. Dans la page des détails de la fonction, dans l'onglet **Configuration**, sous **Tags** (Balises), copiez la valeur à côté de la clé **aws:cloudformation:stack-name**.
1. Dans la AWS CloudFormation console [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/), sous **Stacks**, collez la valeur clé dans le champ de recherche, puis choisissez Enter.
1. La liste des piles est filtrée afin que seule la pile qui a créé la fonction de rotation Lambda apparaisse. Dans la colonne **Created date** (Date de création), affichez la date à laquelle la pile a été créée. Il s'agit de la date à laquelle la fonction de rotation Lambda a été créée.
## Erreur : « Impossible d'importer le module ''lambda\$1function'' »
Cette erreur peut s'afficher si vous exécutez une fonction Lambda antérieure qui a été automatiquement mise à niveau de Python 3.7 vers une version plus récente de Python. Pour résoudre l'erreur, vous pouvez rétablir la version de la fonction Lambda vers Python 3.7, puis [Mise à jour d'une fonction de rotation existante depuis Python 3.7 vers 3.9](#troubleshoot_rotation_python39). Pour plus d'informations, veuillez consulter la rubrique [Pourquoi la rotation de ma fonction Lambda Secrets Manager a-t-elle échoué avec le message d'erreur « module pg introuvable » ?](https://repost.aws/knowledge-center/secrets-manager-lambda-rotation) dans *AWS re:Post*.
## Mise à jour d'une fonction de rotation existante depuis Python 3.7 vers 3.9
Certaines fonctions de rotation créées avant novembre 2022 utilisaient Python 3.7. Le AWS SDK pour Python a cessé de prendre en charge Python 3.7 en décembre 2023. Pour plus d'informations, consultez les [mises à jour de la politique de support de Python pour AWS SDKs et les outils](https://aws.amazon.com/blogs/developer/python-support-policy-updates-for-aws-sdks-and-tools/). Pour passer à une nouvelle fonction de rotation utilisant Python 3.9, vous pouvez ajouter une propriété d'exécution à une fonction de rotation existante ou recréer la fonction de rotation.
**Pour rechercher quelles fonctions de rotation Lambda utilisent Python 3.7**
1. Connectez-vous à la AWS Lambda console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/).
1. Dans la liste des **fonctions**, filtrez pour **SecretsManager**.
1. Dans la liste filtrée des fonctions, sous **Exécution**, recherchez Python 3.7.
**Topics**
+ [Option 1 : recréer la fonction de rotation en utilisant CloudFormation](#update-python-opt-1)
+ [Option 2 : mettre à jour le temps d'exécution de la fonction de rotation existante à l'aide de CloudFormation](#update-python-opt-2)
+ [Option 3 : pour les AWS CDK utilisateurs, mettez à niveau la bibliothèque CDK](#update-python-opt-3)
### Option 1 : recréer la fonction de rotation en utilisant CloudFormation
Lorsque vous utilisez la console Secrets Manager pour activer la rotation, Secrets Manager crée CloudFormation les ressources nécessaires, y compris la fonction de rotation Lambda. Si vous avez utilisé la console pour activer la rotation ou si vous avez créé la fonction de rotation à l'aide d'une CloudFormation pile, vous pouvez utiliser la même CloudFormation pile pour recréer la fonction de rotation sous un nouveau nom. La nouvelle fonction utilise la version la plus récente de Python.
**Pour trouver la CloudFormation pile à l'origine de la fonction de rotation**
+ Dans la page des détails de la fonction Lambda, sous l'onglet **Configuration**, choisissez **Balises**. Afficher l'ARN en regard de **aws:cloudformation:stack-id**.
Le nom de la pile est intégré dans l'ARN, comme illustré dans l'exemple suivant.
+ ARN : `arn:aws:cloudformation:us-west-2:408736277230:stack/SecretsManagerRDSMySQLRotationSingleUser5c2-SecretRotationScheduleHostedRotationLambda-3CUDHZMDMBO8/79fc9050-2eef-11ed-80f0-021fb13c0537`
+ Nom de la pile : **SecretsManagerRDSMySQLRotationSingleUser5c2-SecretRotationScheduleHostedRotationLambda**
**Pour recréer une fonction de rotation (CloudFormation)**
1. Dans CloudFormation, recherchez la pile par son nom, puis choisissez **Mettre à jour**.
Si une boîte de dialogue vous recommande de mettre à jour la pile racine s'affiche, choisissez **Accéder à la pile racine**, puis choisissez **Mettre à jour**.
1. Sur la page **Mettre à jour la pile**, sous **Préparer le modèle**, choisissez **Modifier dans Application Composer**, puis sous **Modifier le modèle dans Application Composer**, cliquez sur le bouton **Modifier dans Application Composer**.
1. Dans Application Composer, procédez comme suit :
1. Dans le code du modèle, dans`SecretRotationScheduleHostedRotationLambda`, remplacez la valeur pour `"functionName": "SecretsManagerTestRotationRDS"` par un nouveau nom de fonction, par exemple en JSON, `"functionName": "SecretsManagerTestRotationRDSupdated"`
1. Choisissez **Mettre à jour le modèle**.
1. Dans la CloudFormation boîte **de dialogue Continuer à**, choisissez **Confirmer et passez à CloudFormation**.
1. Poursuivez le flux de travail de la CloudFormation pile, puis choisissez **Soumettre**.
### Option 2 : mettre à jour le temps d'exécution de la fonction de rotation existante à l'aide de CloudFormation
Lorsque vous utilisez la console Secrets Manager pour activer la rotation, Secrets Manager crée CloudFormation les ressources nécessaires, y compris la fonction de rotation Lambda. Si vous avez utilisé la console pour activer la rotation ou si vous avez créé la fonction de rotation à l'aide d'une CloudFormation pile, vous pouvez utiliser la même CloudFormation pile pour mettre à jour le temps d'exécution de la fonction de rotation.
**Pour trouver la CloudFormation pile à l'origine de la fonction de rotation**
+ Dans la page des détails de la fonction Lambda, sous l'onglet **Configuration**, choisissez **Balises**. Afficher l'ARN en regard de **aws:cloudformation:stack-id**.
Le nom de la pile est intégré dans l'ARN, comme illustré dans l'exemple suivant.
+ ARN : `arn:aws:cloudformation:us-west-2:408736277230:stack/SecretsManagerRDSMySQLRotationSingleUser5c2-SecretRotationScheduleHostedRotationLambda-3CUDHZMDMBO8/79fc9050-2eef-11ed-80f0-021fb13c0537`
+ Nom de la pile : **SecretsManagerRDSMySQLRotationSingleUser5c2-SecretRotationScheduleHostedRotationLambda**
**Pour mettre à jour l'exécution d'une fonction de rotation (CloudFormation)**
1. Dans CloudFormation, recherchez la pile par son nom, puis choisissez **Mettre à jour**.
Si une boîte de dialogue vous recommande de mettre à jour la pile racine s'affiche, choisissez **Accéder à la pile racine**, puis choisissez **Mettre à jour**.
1. Sur la page **Mettre à jour la pile**, sous **Préparer le modèle**, choisissez **Modifier dans Application Composer**, puis sous **Modifier le modèle dans Application Composer**, cliquez sur le bouton **Modifier dans Application Composer**.
1. Dans Application Composer, procédez comme suit :
1. Dans le modèle JSON, pour le`SecretRotationScheduleHostedRotationLambda`, under`Properties`, under`Parameters`, add**"runtime": "python3.9"**.
1. Choisissez **Mettre à jour le modèle**.
1. Dans la CloudFormation boîte **de dialogue Continuer à**, choisissez **Confirmer et passez à CloudFormation**.
1. Poursuivez le flux de travail de la CloudFormation pile, puis choisissez **Soumettre**.
### Option 3 : pour les AWS CDK utilisateurs, mettez à niveau la bibliothèque CDK
Si vous avez utilisé la version 2.94.0 AWS CDK antérieure pour configurer la rotation de votre secret, vous pouvez mettre à jour la fonction Lambda en passant à la version 2.94.0 ou ultérieure. Pour plus d'informations, consultez le [Guide du développeur AWS Cloud Development Kit (AWS CDK) v2](https://docs.aws.amazon.com/cdk/v2/guide/home.html).
## Mettre à niveau une fonction de rotation existante de Python 3.9 à 3.10
Secrets Manager est en train de passer de Python 3.9 à 3.10 pour les fonctions de rotation Lambda. Pour passer à une nouvelle fonction de rotation utilisant Python 3.10, vous devez suivre le chemin de mise à niveau en fonction de votre méthode de déploiement. Utilisez les procédures suivantes pour mettre à niveau la version Python et les dépendances sous-jacentes.
**Pour déterminer quelles fonctions de rotation Lambda, utilisez Python 3.9**
1. Connectez-vous à la AWS Lambda console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/).
1. Dans la liste des **fonctions**, filtrez pour **SecretsManager**.
1. Dans la liste filtrée des fonctions, sous **Runtime**, recherchez**Python 3.9**.
### Mettre à jour les chemins par méthode de déploiement
Les fonctions de rotation Lambda identifiées dans cette liste peuvent être déployées via la console Secrets Manager, les AWS Serverless Application Repository applications ou CloudFormation les transformations. Chacune de ces stratégies de déploiement possède un chemin de mise à jour distinct.
Utilisez l'une des procédures suivantes pour mettre à jour vos fonctions de rotation Lambda, en fonction de la manière dont votre fonction a été déployée.
------
#### [ AWS Secrets Manager console-deployed functions ]
Une nouvelle fonction Lambda doit être déployée via la AWS Secrets Manager console car vous ne pouvez pas mettre à jour manuellement les dépendances des fonctions Lambda existantes.
Utilisez la procédure suivante pour mettre à niveau les fonctions AWS Secrets Manager déployées sur la console.
1. Ouvrez la console Secrets Manager à l'adresse [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Sous **AWS Secrets Manager**, sélectionnez **Secrets**. Sélectionnez le secret qui utilise la fonction Lambda que vous souhaitez mettre à jour.
1. Accédez à l'onglet **Rotations** et sélectionnez l'option **Mettre à jour les configurations de rotation**.
1. Sous **Fonctions de rotation**, choisissez **Créer une nouvelle fonction** et entrez un nouveau nom pour la fonction de rotation Lambda.
1. (Facultatif) Une fois la mise à jour terminée, vous pouvez tester la fonction Lambda mise à jour pour confirmer qu'elle fonctionne comme prévu. Sous l'onglet **Rotation**, sélectionnez **Rotate Secret Immediately** pour lancer une rotation immédiate.
1. (Facultatif) Vous pouvez consulter les journaux de vos fonctions et la version de Python utilisée lors de l'exécution sur Amazon CloudWatch. Pour plus d'informations, consultez la section [Affichage CloudWatch des journaux pour les fonctions Lambda](https://docs.aws.amazon.com/lambda/latest/dg/monitoring-cloudwatchlogs-view.html#monitoring-cloudwatchlogs-console) dans le Guide du *AWS Lambda développeur*.
1. Une fois la nouvelle fonction de rotation configurée, vous pouvez supprimer l'ancienne fonction de rotation.
------
#### [ AWS Serverless Application Repository deployments ]
La procédure suivante indique comment mettre à niveau les AWS Serverless Application Repository déploiements. Les fonctions Lambda AWS Serverless Application Repository déployées par le biais d'une bannière indiquant qu'`This function belongs to an application. Click here to manage it.`elles incluent un lien vers l'application Lambda à laquelle appartient la fonction.
**Important**
AWS Serverless Application Repository la disponibilité Région AWS dépend.
Utilisez la procédure suivante pour mettre à jour les fonctions AWS Serverless Application Repository déployées.
1. Ouvrez la AWS Lambda console à l'adresse [https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/).
1. Accédez à l'onglet **Configurations** de la fonction Lambda qui doit être mise à jour.
1. Vous aurez besoin des informations suivantes concernant votre fonction lors de la mise à jour de l' AWS Serverless Application Repository application déployée. Vous pouvez trouver ces informations dans la console Lambda.
+ **Nom de l'application Lambda**
+ Le nom de l'application Lambda peut être trouvé en utilisant le lien dans la bannière. Par exemple, la bannière indique ce qui suit`serverlessrepo-SecretsManagerRedshiftRotationSingleUser`. Dans cet exemple, le nom est`SecretsManagerRedshiftRotationSingleUser`.
+ **Nom de la fonction de rotation Lambda**
+ **Point de terminaison Secrets Manager**
+ Le point de terminaison se trouve sous les onglets **Configurations** et **Variables d'environnement** affectés à la variable **SECRETS\$1MANAGER\$1ENDPOINT**.
1. Pour mettre à niveau Python, vous devez mettre à jour la version sémantique de l'application sans serveur. Consultez la section [Mise à jour des applications](https://docs.aws.amazon.com/serverlessrepo/latest/devguide/serverlessrepo-how-to-consume-new-version.html#update-applications) dans le *guide du AWS Serverless Application Repository développeur*.
------
#### [ Custom Lambda rotation functions ]
Si vous avez créé des fonctions de rotation Lambda personnalisées, vous devrez mettre à niveau les dépendances et les temps d'exécution de chaque package pour ces fonctions. Pour plus d'informations, voir [Mettre à niveau l'environnement d'exécution de la fonction Lambda vers la dernière version](https://repost.aws/knowledge-center/lambda-upgrade-function-runtime).
------
#### [ AWS::SecretsManager-2024-09-16 transform macro ]
Si la fonction Lambda est déployée via cette transformation, [la mise à jour des piles à l'aide d'un modèle existant](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-direct.html) vous permettra d'utiliser le runtime Lambda mis à jour.
Utilisez la procédure suivante pour mettre à jour la CloudFormation pile à l'aide d'un modèle existant.
1. Ouvrez la CloudFormation console à l'adresse [https://console.aws.amazon.com/cloudformation.](https://console.aws.amazon.com/cloudformation/)
1. Sur la page **Stacks**, sélectionnez la pile que vous souhaitez mettre à jour.
1. Choisissez **Mettre à jour** dans le volet des détails de la pile.
1. Pour **Choisir une méthode de mise à jour du modèle**, sélectionnez **Mise à jour directe**.
1. Sur la page **Spécifier le modèle**, sélectionnez **Utiliser le modèle existant**.
1. Conservez les valeurs par défaut de toutes les autres options, puis choisissez **Update stack**.
Si vous rencontrez des problèmes lors de la mise à jour de la pile, consultez [la section Déterminer la cause d'une défaillance de la pile](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/determine-root-cause-for-stack-failures.html) dans le *Guide de CloudFormation l'utilisateur*.
------
#### [ AWS::SecretsManager-2020-07-23 transform macro ]
Nous vous recommandons de migrer vers la nouvelle version de transformation si vous utilisez`AWS::SecretsManager-2020-07-23`. Pour plus d'informations, consultez la section [Présentation d'une version améliorée de la AWS Secrets Manager transformation AWS : : : SecretsManager -2024-09-16](https://aws.amazon.com/blogs/security/introducing-an-enhanced-version-of-the-aws-secrets-manager-transform-awssecretsmanager-2024-09-16/) dans le blog sur la *AWS sécurité*. Si vous continuez à l'utiliser`AWS::SecretsManager-2020-07-23`, vous pouvez rencontrer une erreur de non-concordance entre votre version d'exécution et les artefacts du code de fonction Lambda. Pour plus d'informations, voir [AWS: : SecretsManager : : RotationSchedule HostedRotationLambda](https://docs.aws.amazon.com/AWSCloudFormation/latest/TemplateReference/aws-properties-secretsmanager-rotationschedule-hostedrotationlambda.html#cfn-secretsmanager-rotationschedule-hostedrotationlambda-runtime) dans la *référence du CloudFormation modèle*.
Si vous rencontrez des problèmes lors de la mise à jour de la pile, [déterminez la cause d'une défaillance de la pile](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/determine-root-cause-for-stack-failures.html) dans le *Guide de CloudFormation l'utilisateur*.
------
**Vérifier la mise à niveau de Python**
Pour vérifier la mise à niveau de Python, ouvrez la console Lambda ([https://console.aws.amazon.com/lambda/](https://console.aws.amazon.com/lambda/)) et accédez à la page **Function**. Sélectionnez la fonction que vous avez mise à jour. Dans la section **Source du code**, passez en revue les fichiers inclus dans le répertoire et assurez-vous que le fichier Python .so est bien la version`3.10`.
## AWS Lambda rotation secrète en cas d'`PutSecretValue`échec
Si vous utilisez un rôle assumé ou une rotation entre comptes avec Secrets Manager et que vous trouvez un **RotationFailed** événement contenant le message suivant : La version *VERSION\$1ID * secrète en attente de Secret n'*SECRET\$1ARN *a pas été créée par *LAMBDA\$1ARN.* Lambda. Supprimez `AWSPENDING` l'étiquette intermédiaire et relancez la rotation, vous devez mettre à jour votre fonction Lambda pour utiliser le paramètre. CloudTrail `RotationToken`
## Mettre à jour la fonction de rotation Lambda pour inclure `RotationToken`
1. Téléchargez le code de la fonction Lambda
+ Ouvrez la console Lambda
+ Dans le volet de navigation, sélectionnez **Functions**
+ **Sélectionnez votre fonction de rotation secrète Lambda pour le nom de la fonction**
+ **Pour le **téléchargement**, choisissez l'une des options suivantes **: code de fonction .zip**, **AWS SAM fichier**, les deux**
+ Cliquez **sur OK** pour enregistrer la fonction sur votre ordinateur local.
1. Modifier `Lambda_handler`
Incluez le paramètre rotation\$1token dans l'étape create\$1secret pour la rotation entre comptes :
```
def lambda_handler(event, context):
"""Secrets Manager Rotation Template
This is a template for creating an AWS Secrets Manager rotation lambda
Args:
event (dict): Lambda dictionary of event parameters. These keys must include the following:
- SecretId: The secret ARN or identifier
- ClientRequestToken: The ClientRequestToken of the secret version
- Step: The rotation step (one of createSecret, setSecret, testSecret, or finishSecret)
- RotationToken: the rotation token to put as parameter for PutSecretValue call
context (LambdaContext): The Lambda runtime information
Raises:
ResourceNotFoundException: If the secret with the specified arn and stage does not exist
ValueError: If the secret is not properly configured for rotation
KeyError: If the event parameters do not contain the expected keys
"""
arn = event['SecretId']
token = event['ClientRequestToken']
step = event['Step']
# Add the rotation token
rotation_token = event['RotationToken']
# Setup the client
service_client = boto3.client('secretsmanager', endpoint_url=os.environ['SECRETS_MANAGER_ENDPOINT'])
# Make sure the version is staged correctly
metadata = service_client.describe_secret(SecretId=arn)
if not metadata['RotationEnabled']:
logger.error("Secret %s is not enabled for rotation" % arn)
raise ValueError("Secret %s is not enabled for rotation" % arn)
versions = metadata['VersionIdsToStages']
if token not in versions:
logger.error("Secret version %s has no stage for rotation of secret %s." % (token, arn))
raise ValueError("Secret version %s has no stage for rotation of secret %s." % (token, arn))
if "AWSCURRENT" in versions[token]:
logger.info("Secret version %s already set as AWSCURRENT for secret %s." % (token, arn))
return
elif "AWSPENDING" not in versions[token]:
logger.error("Secret version %s not set as AWSPENDING for rotation of secret %s." % (token, arn))
raise ValueError("Secret version %s not set as AWSPENDING for rotation of secret %s." % (token, arn))
# Use rotation_token
if step == "createSecret":
create_secret(service_client, arn, token, rotation_token)
elif step == "setSecret":
set_secret(service_client, arn, token)
elif step == "testSecret":
test_secret(service_client, arn, token)
elif step == "finishSecret":
finish_secret(service_client, arn, token)
else:
raise ValueError("Invalid step parameter")
```
1. Modifier le `create_secret` code
Révisez la `create_secret` fonction pour accepter et utiliser le `rotation_token` paramètre :
```
# Add rotation_token to the function
def create_secret(service_client, arn, token, rotation_token):
"""Create the secret
This method first checks for the existence of a secret for the passed in token. If one does not exist, it will generate a
new secret and put it with the passed in token.
Args:
service_client (client): The secrets manager service client
arn (string): The secret ARN or other identifier
token (string): The ClientRequestToken associated with the secret version
rotation_token (string): the rotation token to put as parameter for PutSecretValue call
Raises:
ResourceNotFoundException: If the secret with the specified arn and stage does not exist
"""
# Make sure the current secret exists
service_client.get_secret_value(SecretId=arn, VersionStage="AWSCURRENT")
# Now try to get the secret version, if that fails, put a new secret
try:
service_client.get_secret_value(SecretId=arn, VersionId=token, VersionStage="AWSPENDING")
logger.info("createSecret: Successfully retrieved secret for %s." % arn)
except service_client.exceptions.ResourceNotFoundException:
# Get exclude characters from environment variable
exclude_characters = os.environ['EXCLUDE_CHARACTERS'] if 'EXCLUDE_CHARACTERS' in os.environ else '/@"\'\\'
# Generate a random password
passwd = service_client.get_random_password(ExcludeCharacters=exclude_characters)
# Put the secret, using rotation_token
service_client.put_secret_value(SecretId=arn, ClientRequestToken=token, SecretString=passwd['RandomPassword'], VersionStages=['AWSPENDING'], RotationToken=rotation_token)
logger.info("createSecret: Successfully put secret for ARN %s and version %s." % (arn, token))
```
1. Téléchargez le code de fonction Lambda mis à jour
Après avoir mis à jour le code de votre fonction Lambda, [téléchargez-le pour faire pivoter votre secret](https://docs.aws.amazon.com/lambda/latest/dg/configuration-function-zip.html#configuration-function-update).
## Erreur : « Erreur lors de l'exécution de Lambda ** pendant l'**étape »
Si vous rencontrez des échecs de rotation secrète intermittents lorsque votre fonction Lambda est bloquée dans une boucle d'ensembles, par exemple entre **CreateSecret** et**SetSecret**, le problème peut être lié aux paramètres de simultanéité.
### Étapes de résolution des problèmes de simultanéité
**Avertissement**
La définition du paramètre de simultanéité provisionné sur une valeur inférieure à 10 peut entraîner un ralentissement dû à un nombre insuffisant de threads d'exécution pour la fonction Lambda. Pour plus d'informations, consultez la section [Comprendre la simultanéité réservée et la simultanéité provisionnée dans le Guide](https://docs.aws.amazon.com/lambda/latest/dg/lambda-concurrency.html#reserved-and-provisioned) du AWS Lambda AWS Lambda développeur.
1. Vérifiez et ajustez les paramètres de simultanéité Lambda :
+ Vérifiez que ce `reserved_concurrent_executions` paramètre n'est pas trop bas (par exemple, 1)
+ Si vous utilisez la simultanéité réservée, réglez-la sur au moins 10
+ Envisagez d'utiliser la simultanéité sans réserve pour plus de flexibilité
1. Pour la simultanéité provisionnée :
+ Ne définissez pas explicitement le paramètre de simultanéité provisionné (par exemple, dans Terraform).
+ Si vous devez le définir, utilisez une valeur d'au moins 10.
+ Effectuez des tests approfondis pour vous assurer que la valeur choisie convient à votre cas d'utilisation.
1. Surveillez et réglez la simultanéité :
+ Calculez la simultanéité à l'aide de cette formule : Concurrence = (nombre moyen de demandes par seconde) \$1 (durée moyenne des demandes en secondes). Pour plus d'informations, voir [Estimation de la simultanéité réservée](https://docs.aws.amazon.com/lambda/latest/dg/configuration-concurrency.html#estimating-reserved-concurrency).
+ Observez et enregistrez les valeurs pendant les rotations afin de déterminer les paramètres de simultanéité appropriés.
+ Soyez prudent lorsque vous définissez de faibles valeurs de simultanéité. Ils peuvent provoquer un ralentissement s'il n'y a pas suffisamment de threads d'exécution disponibles.
Pour plus d'informations sur la configuration de la simultanéité Lambda, consultez les sections Configuration de [la simultanéité réservée et Configuration de la simultanéité](https://docs.aws.amazon.com/lambda/latest/dg/configuration-concurrency.html) [provisionnée](https://docs.aws.amazon.com/lambda/latest/dg/provisioned-concurrency.html) dans le Guide du développeur. AWS Lambda