本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
启用其他数据库或服务的密钥轮换
要为支持的 RDS 数据库以外的数据库或某种其他服务配置密钥轮换,您必须手动执行几个额外的步骤。主要是,您必须创建 Lambda 轮换函数并提供代码。
配置轮换将导致在存储密钥时立即轮换一次密钥。在执行该操作之前,您必须确保更新使用密钥中存储的凭证的所有应用程序以从 AWS Secrets Manager 中检索密钥。在初始轮换后,可能无法使用旧凭证。只要旧凭证不再有效,无法更新的任何应用程序都将立即中断。
您必须已创建 Lambda 轮换函数。如果尚未创建该函数,请执行旋转 AWS Secrets Manager 其他数据库或服务的秘密中的步骤。在创建该函数并准备好与您的密钥相关联时,请返回到该过程。
先决条件:实现旋转的网络要求
要成功启用轮换,您必须正确配置网络环境。
-
的 Lambda 函数必须能够与您的数据库或服务通信。 如果数据库或服务在 VPC 中的 Amazon EC2 实例上运行,建议将 Lambda 函数配置为在同一 VPC 中运行。这样可在轮换函数与服务之间启用直接连接。要进行此配置,请在 Lambda 函数的详细信息页面上,向下滚动至网络部分并从下拉列表中选择 VPC,使其与运行您服务的实例的 VPC 匹配。您还必须确保附加到实例的 EC2 安全组允许实例与 Lambda 进行通信。
-
的 Lambda 功能必须能够与 Secrets Manager 服务端点。 如果 Lambda 轮换函数因未配置为在 VPC 中运行或 VPC 已连接 NAT 网关而能够访问 Internet,您可将任何可用的公共终端节点用于 Secrets Manager。或者,如果 Lambda 函数已配置为在无法访问 Internet 的 VPC 中运行,您可为该 VPC 配置私有 Secrets Manager 服务终端节点。
为其他数据库或服务启用和配置密钥轮换
请按照以下选项卡之一中的步骤进行操作: