As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Rotação gerenciada para AWS Secrets Manager segredos
Alguns serviços oferecem alternância gerenciada, na qual o serviço configura e gerencia a alternância para você. Com a rotação gerenciada, você não usa uma AWS Lambda função para atualizar o segredo e as credenciais no banco de dados.
Os seguintes serviços oferecem alternância gerenciada:
-
O Amazon Aurora oferece alternância gerenciada para credenciais de usuário primário. Para obter mais informações, consulte Gerenciamento de senhas com Amazon Aurora e o AWS Secrets Manager no Guia do usuário do Amazon Aurora.
-
O Amazon ECS Service Connect oferece alternância gerenciada para certificados TLS do Autoridade de Certificação Privada da AWS . Para obter mais informações, consulte TLS com o Service Connect no Guia do desenvolvedor do serviço Amazon Elastic Container.
-
O Amazon RDS oferece alternância gerenciada para credenciais de usuário primário. Para obter mais informações, consulte Gerenciamento de senhas com Amazon RDS e o AWS Secrets Manager no Guia do usuário do Amazon RDS.
-
O Amazon Redshift oferece alternância gerenciada para senhas de administradores. Para obter mais informações, consulte Gerenciamento de senhas de administrador do Amazon Redshift usando o Guia de gerenciamento AWS Secrets Manager de clusters do Amazon Redshift.
-
segredos externos gerenciados oferecem rotação gerenciada para segredos mantidos por parceiros do Secrets Manager. Para obter mais informações, consulte Usando segredos externos AWS Secrets Manager gerenciados para gerenciar segredos de terceiros.
dica
Para todos os outros tipos de segredos, consulte Função do Lambda de alternância.
A rotação de segredos gerenciados normalmente é concluída em um minuto. Durante a rotação, novas conexões que recuperam o segredo podem obter a versão anterior das credenciais. Em aplicações, é altamente recomendado que você siga a prática recomendada de utilizar um usuário de banco de dados criado com os privilégios mínimos necessários para sua aplicação, em vez de usar o usuário principal. Para usuários de aplicativos, para maior disponibilidade, você pode usar a Estratégia de rotação de usuários alternados.
Para segredos mantidos por parceiros do Secrets Manager,
Para alterar a programação de alternância gerenciada
-
Abra o segredo gerenciado no console do Secrets Manager. Você pode seguir um link do serviço de gerenciamento ou pesquisar o segredo no console do Secrets Manager.
-
Em Rotation schedule (Programação da alternância), insira sua programação no fuso horário UTC no Schedule expression builder (Desenvolvedor de expressão programada) ou como uma Schedule expression (Expressão programada). O Secrets Manager armazena sua programação como uma expressão
rate()oucron(). A janela de alternância começa automaticamente à 0h, a menos que você especifique um horário de início. É possível alternar um segredo com intervalos a partir de quatro horas. Para obter mais informações, consulte Programação de alternância. -
(Opcional) Em Window duration (Duração da janela), escolha a duração da janela em que deseja que o Secrets Manager alterne o seu segredo, por exemplo,
3h, por uma janela de três horas. A janela não pode se estender até a próxima janela de alternância. Se você não especificar Window duration (Duração da janela) para uma programação de alternância em horas, a janela será automaticamente encerrada após uma hora. Para uma programação de alternância em dias, a janela terminará automaticamente no final do dia. -
Escolha Salvar.
Para alterar o cronograma de alternância gerenciada (AWS CLI)
-
Chame
rotate-secret. O exemplo a seguir alterna o segredo entre 16h e 18h UTC no 1.º e no 15.º dias do mês. Para obter mais informações, consulte Programação de alternância.aws secretsmanager rotate-secret \ --secret-id MySecret \ --rotation-rules \ "{\"ScheduleExpression\": \"cron(0 16 1,15 * ? *)\", \"Duration\": \"2h\"}"
