Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Configura la rotazione automatica per i segreti di Amazon RDS, Amazon Aurora, Amazon Redshift o Amazon DocumentDB
Questo tutorial descrive come configurare i segreti [Rotazione tramite funzione Lambda](rotate-secrets_lambda.md) del database. La rotazione è il processo di aggiornamento periodico di un segreto. Quando si ruota un segreto, vengono aggiornate le credenziali sia nel segreto che nel database. In Gestione dei segreti, puoi impostare la rotazione automatica per i segreti del tuo database.
Per impostare la rotazione utilizzando la console, prima è necessario scegliere una strategia di rotazione. Poi è possibile configurare il segreto per la rotazione, creando una funzione di rotazione Lambda se non è già presente. La console imposta anche le autorizzazioni per il ruolo di esecuzione della funzione Lambda. L'ultimo passaggio consiste nel garantire che la funzione di rotazione Lambda possa accedere sia a Gestione dei segreti che al database tramite la rete.
**avvertimento**
Per attivare la rotazione automatica, devi disporre dell'autorizzazione per creare un ruolo di esecuzione IAM per la funzione di rotazione Lambda e allegare una politica di autorizzazione. Sono necessarie entrambe le autorizzazioni `iam:CreateRole` e `iam:AttachRolePolicy`. La concessione di queste autorizzazioni consente a un'identità di concedersi qualsiasi autorizzazione.
**Topics**
+ [
## Fase 1: Scelta di una strategia di rotazione e (facoltativamente) creazione di un segreto del superutente
](#rotate-secrets_turn-on-for-db_step1)
+ [
## Fase 2: Configurazione della rotazione e creazione di una funzione di rotazione
](#rotate-secrets_turn-on-for-db_step2)
+ [
## Passaggio 3: (facoltativo) impostazione di condizioni di autorizzazione aggiuntive sulla funzione di rotazione
](#rotate-secrets_turn-on-for-db_step3)
+ [
## Fase 4: Configurazione dell'accesso alla rete per la funzione di rotazione
](#rotate-secrets_turn-on-for-db_step4)
+ [
## Fasi successive
](#rotate-secrets_turn-on-for-db_stepnext)
## Fase 1: Scelta di una strategia di rotazione e (facoltativamente) creazione di un segreto del superutente
Per informazioni sulle strategie offerte da Secrets Manager, vedere[Strategie di rotazione delle funzioni Lambda](rotation-strategy.md).
Se scegli la *strategia a utenti alternati*, è necessario [Crea segreti](create_secret.md) e memorizzare al suo interno le credenziali del superutente del database. Con le credenziali di superutente è necessario un segreto perché la rotazione clona il primo utente e la maggior parte degli utenti non dispone di tale autorizzazione. Tieni presente che Amazon RDS Proxy non supporta la strategia di utenti alternati.
## Fase 2: Configurazione della rotazione e creazione di una funzione di rotazione
**Per attivare la rotazione per un segreto Amazon RDS, Amazon DocumentDB o Amazon Redshift**
1. Apri la console Secrets Manager all'indirizzo [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Nella pagina dell'elenco **Secrets (Segreti)** scegli il segreto.
1. Nella pagina **Secret details (Dettagli del segreto)**, nella sezione **Rotation configuration (Configurazione rotazione)** scegli **Edit rotation (Modifica rotazione)**.
1. Nella finestra di dialogo **Edit rotation configuration (modifica configurazione rotazione)**, procedi come indicato di seguito:
1. Attiva **Automatic rotation** (Rotazione automatica).
1. In **Rotation schedule** (Pianificazione della rotazione), inserisci la tua pianificazione seguendo il fuso orario UTC nel **Schedule expression builder** (Generatore di espressioni di pianificazione) o come **Schedule expression** (Espressione di pianificazione). Gestione dei segreti memorizza la tua pianificazione come un'espressione `rate()` o `cron()`. La finestra di rotazione inizia automaticamente a mezzanotte, a meno che non si specifichi un'**ora di inizio**. Puoi ruotare un segreto anche ogni quattro ore. Per ulteriori informazioni, consulta [Pianificazioni di rotazione](rotate-secrets_schedule.md).
1. (Facoltativo) Per **Window duration** (Durata della finestra), scegli la lunghezza della finestra durante la quale vuoi che Secrets Manager ruoti il tuo segreto, ad esempio **3h** per una finestra di tre ore. La finestra non deve continuare nella finestra di rotazione successiva. Se non si specifica la **durata della finestra**, per un programma di rotazione espresso in ore, la finestra si chiude automaticamente dopo un'ora. Per un programma di rotazione espresso in giorni, la finestra si chiude automaticamente alla fine della giornata.
1. (Facoltativo) Scegli **Rotate immediately when the secret is stored** (Ruota immediatamente quando viene memorizzato il segreto) per ruotare il segreto al salvataggio delle modifiche. Deselezionando la casella di controllo, la prima rotazione inizierà nella pianificazione impostata.
Se la rotazione non avviene, ad esempio perché le fasi 3 e 4 non sono ancora state completate, Gestione dei segreti riprova il processo di rotazione più volte.
1. In **Rotation function** (Funzione di rotazione), esegui una delle seguenti operazioni:
+ Scegli **Crea una nuova funzione Lambda** e immetti un nome per la nuova funzione. Gestione dei segreti aggiunge "`SecretsManager`" all'inizio del nome della funzione. Gestione dei segreti crea la funzione in base al [modello](reference_available-rotation-templates.md) appropriato e imposta le [autorizzazioni](rotating-secrets-required-permissions-function.md) necessarie per il ruolo di esecuzione di Lambda.
+ Scegli **Use an existing Lambda function** (Usa una funzione Lambda esistente) per riutilizzare una funzione di rotazione Lambda esistente per un altro segreto. Le funzioni di rotazione elencate in **Recommended VPC configurations** (Configurazioni VPC consigliate) dispongono dello stesso VPC e gruppo di sicurezza del database, e questo aiuta la funzione ad accedere al database.
1. Per **Strategia di rotazione** scegli la strategia **Utente singolo** o **Utenti alternati**. Per ulteriori informazioni, consulta [Fase 1: Scelta di una strategia di rotazione e (facoltativamente) creazione di un segreto del superutente](#rotate-secrets_turn-on-for-db_step1).
1. Scegli **Save** (Salva).
## Passaggio 3: (facoltativo) impostazione di condizioni di autorizzazione aggiuntive sulla funzione di rotazione
Nella policy delle risorse per la funzione di rotazione, si consiglia di includere la chiave di contesto [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) per prevenire che Lambda venga usato come [confused deputy](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html). Per alcuni AWS servizi, per evitare il confuso scenario sostitutivo, si AWS consiglia di utilizzare sia i tasti di condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale che i [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)tasti di condizione globale. Tuttavia, se includi la condizione `aws:SourceArn` nella tua policy della funzione di rotazione, la funzione di rotazione può essere utilizzata solo per ruotare il segreto specificato da tale ARN. Ti consigliamo di includere solo la chiave di contesto `aws:SourceAccount` in modo da poter utilizzare la funzione di rotazione per più segreti.
**Per aggiornare la policy delle risorse della funzione di rotazione**
1. Nella console Gestione dei segreti, scegli il tuo segreto e quindi nella pagina dei dettagli, nella sezione **Rotation configuration** (Configurazione della rotazione), scegli la funzione di rotazione Lambda. Si apre la console Lambda.
1. Segui le istruzioni in [Utilizzo di politiche basate sulle risorse per Lambda](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html) per aggiungere una condizione `aws:sourceAccount`.
```
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "123456789012"
}
},
```
Se il segreto è crittografato con una chiave KMS diversa da Chiave gestita da AWS `aws/secretsmanager`, Secrets Manager concede al ruolo di esecuzione Lambda l'autorizzazione a utilizzare la chiave. È possibile utilizzare il [contesto di crittografia SecretARN](security-encryption.md#security-encryption-encryption-context) per limitare l'uso della funzione di decrittografia, in modo che il ruolo della funzione di rotazione sia autorizzato ad accedere soltanto per decrittografare il segreto della cui rotazione è responsabile.
**Aggiornamento del ruolo di esecuzione della funzione di rotazione**
1. Dalla funzione di rotazione Lambda, scegli **Configurazione**, quindi in **Ruolo di esecuzione** scegli **Nome del ruolo**.
1. Segui le istruzioni riportate nella sezione [Modifica di una policy sulle autorizzazioni dei ruoli](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy) per aggiungere una condizione `kms:EncryptionContext:SecretARN`.
```
"Condition": {
"StringEquals": {
"kms:EncryptionContext:SecretARN": "SecretARN"
}
},
```
## Fase 4: Configurazione dell'accesso alla rete per la funzione di rotazione
Per ulteriori informazioni, consulta [Accesso alla rete per la funzione AWS Lambda di rotazione](rotation-function-network-access.md).
## Fasi successive
Per informazioni, consulta [Risolvi i problemi Gestione dei segreti AWS di rotazione](troubleshoot_rotation.md).