本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # AWS Secrets Manager 密钥的托管轮换 部分服务提供*托管轮换*,即服务为您配置和管理轮换。使用托管轮换,您无需使用 AWS Lambda 函数来更新数据库中的密钥和凭据。 以下服务提供托管轮换: + **Amazon Aurora** 为主用户凭证提供托管轮换。有关更多信息,请参阅《*Amazon Aurora 用户指南*》中的[使用 Amazon Aurora 和 AWS Secrets Manager管理密码](https://docs.aws.amazon.com//AmazonRDS/latest/AuroraUserGuide/rds-secrets-manager.html)。 + **Amazon ECS** Service Connect 为 AWS 私有证书颁发机构 TLS 证书提供托管轮换。有关更多信息,请参阅《*Amazon Elastic Container Service 开发人员指南*》中的[支持 Service Connect 的 TLS](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-connect-tls.html)。 + **Amazon RDS** 为主用户凭证提供托管轮换。有关更多信息,请参阅《*Amazon RDS 用户指南*》中的[使用 Amazon RDS 和 AWS Secrets Manager管理密码](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-secrets-manager.html)。 + **亚马逊 DocumentDB** 为主用户证书提供托管轮换。有关更多信息,请参阅[使用亚马逊 DocumentDB 管理密码和亚马逊 Documen](https://docs.aws.amazon.com/documentdb/latest/developerguide/docdb-secrets-manager.html) t *DB* 用户指南 AWS Secrets Manager中的内容。 + **Amazon Redshift** 为管理员密码提供托管轮换。有关更多信息,请参阅《*Amazon Redshift 管理指南*》中的[使用 AWS Secrets Manager管理 Amazon Redshift 管理员密码](https://docs.aws.amazon.com/redshift/latest/mgmt/redshift-secrets-manager-integration.html)。 + **托管外部密钥为由 Sec** rets Manager 合作伙伴持有的密钥提供托管轮换。有关更多信息,请参阅 [使用 AWS Secrets Manager 托管的外部机密来管理第三方机密](managed-external-secrets.md)。 **提示** 有关所有其他类型的密钥,请参阅 [通过 Lambda 函数进行轮换](rotate-secrets_lambda.md)。 托管秘密的轮换通常会在一分钟内完成。在轮换期间,检索秘密的新连接可能会获得先前版本的凭证。在应用程序中,我们强烈建议您遵循使用以您的应用程序所需的最低权限创建的数据库用户的最佳实践,而不是使用主用户。对于应用程序用户,为了获得最高可用性,可以使用[交替用户轮换策略](rotation-strategy.md)。 如需了解 Secrets Manager 合作伙伴持有的机密, **更改托管轮换的计划** 1. 在 Secrets Manager 控制台中打开托管密钥。您可以访问管理服务中的链接,也可以在 Secrets Manager 控制台中[搜索密钥](service-linked-secrets.md)。 1. 在 **Rotation schedule**(轮换计划)下,在 **Schedule expression builder**(计划表达式生成器)或 **Schedule expression**(计划表达式)中,以 UTC 时区格式输入您的计划。Secrets Manager 会将您的计划存储为 `rate()` 或 `cron()` 表达式。轮换时段将自动从午夜开始,除非您指定 **Start time**(开始时间)。您可以每四小时轮换一次密钥。有关更多信息,请参阅 [轮换计划](rotate-secrets_schedule.md)。 1. (可选)对于 **Window duration**(时段持续时间),选择您希望 Secrets Manager 在其间轮换密钥的时段长度,例如 **3h** 表示三个小时的时段。该时段不得延伸到下一个轮换时段。如果未指定 **Window duration**(时段持续时间),则对于以小时为单位的轮换计划,时段将在一小时后自动关闭。对于以天为单位的轮换计划,时段将在一天结束时自动关闭。 1. 选择**保存**。 **更改托管轮换的计划 (AWS CLI)** + 调用 [https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/rotate-secret.html](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/rotate-secret.html)。以下示例在每月 1 日和 15 日 UTC 16:00 至 18:00 之间轮换密钥。有关更多信息,请参阅 [轮换计划](rotate-secrets_schedule.md)。 ``` aws secretsmanager rotate-secret \ --secret-id MySecret \ --rotation-rules \ "{\"ScheduleExpression\": \"cron(0 16 1,15 * ? *)\", \"Duration\": \"2h\"}" ```