As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Usando AWS Lambda para girar segredos O AWS Well-Architected Framework recomenda que [você armazene e](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_identities_secrets.html) use segredos com segurança. Essa prática recomendada recomenda que você automatize a rotação de credenciais em intervalos regulares. *Alternância* é o processo em que você atualiza periodicamente o segredo para dificultar o acesso de um invasor às credenciais. Muitas estruturas e regulamentações de conformidade também exigem que você alterne os segredos. Para Terraform IaC, você pode usar AWS Secrets Manager e estabelecer [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)a rotação automatizada. No Secrets Manager, você pode configurar alternância automática para seus segredos. Quando o Secrets Manager alterna um segredo, ele atualiza as credenciais no segredo e no banco de dados ou serviço. Para bancos de dados, recomendamos que você gerencie as credenciais primárias no Secrets Manager e alterne os segredos em intervalos regulares. O Secrets Manager fornece modelos de função de rotação para Lambda para vários tipos de credenciais de banco de dados. Para obter mais informações, consulte os [modelos de função de AWS Secrets Manager rotação](https://docs.aws.amazon.com/secretsmanager/latest/userguide/reference_available-rotation-templates.html) na documentação do Secrets Manager e veja os [exemplos de código](https://github.com/aws-samples/aws-secrets-manager-rotation-lambdas/blob/master/README.md) em GitHub. Veja a seguir um exemplo de um Terraform IaC que você pode usar para alternar segredos ou dados confidenciais. ``` resource "aws_secretsmanager_secret_rotation" "createrotation" { count = var.needrotation == true ? 1 : 0 secret_id = aws_secretsmanager_secret.initiatesecret.id rotation_lambda_arn = aws_lambda_function.rotationlambda.arn rotation_rules { automatically_after_days = 1 } } ``` O diagrama de arquitetura a seguir mostra como você pode usar o Secrets Manager, um endpoint da Amazon VPC e uma função Lambda para alternar dados confidenciais em um. Conta da AWS ![\[Usando o Lambda para alternar segredos em AWS Secrets Manager\]](http://docs.aws.amazon.com/pt_br/prescriptive-guidance/latest/secure-sensitive-data-secrets-manager-terraform/images/rotate-secrets.png)