Lambda 轮换函数 - Amazon Secrets Manager
轮换函数的四个步骤
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Lambda 轮换函数

在中通过 Lambda 函数进行轮换, Amazon Lambda 函数轮换密钥。 Amazon Secrets Manager 轮换过程中,使用暂存标注标注密钥的不同版本。

如果 Amazon Secrets Manager 没有为您的密钥类型提供轮换函数模板,则可以创建自定义轮换密钥。编写轮换函数时请遵循以下准则:

自定义轮换函数的最佳实践

  • 使用通用旋转模板作为起点。

  • 谨慎使用调试或记录语句。他们可以将信息写入 Amazon CloudWatch 日志。确保日志不包含敏感信息。

    有关日志语句的示例,请参阅Amazon Secrets Manager 轮换函数模板源代码。

  • 出于安全考虑, Amazon Secrets Manager 仅允许 Lambda 轮换密钥。轮换密钥,无法调用另一个 Lambda 函数来轮换密钥。

  • 有关调试指导,请参阅测试和调试无服务器应用程序

  • 例如,如果您使用外部二进制文件和库来连接资源,则应对其修补和更新负责。

  • Package 将您的旋转函数和所有依赖项打包到 ZIP 文件中,例如my-function.zip

警告

由于 Lambda 函数的执行线程不足,将预配置的并发参数设置为低于 10 的值可能会导致限制。有关更多信息,请参阅《开发人员指南》中的了解预留并发和预配置并发。 Amazon Lambda Amazon Lambda

轮换函数的四个步骤

create_secret:创建密钥的新版本

方法 create_secret 首先通过使用传入的 ClientRequestToken 调用 get_secret_value 来检查密钥是否存在。如果没有密钥,它会使用 create_secret 创建一个新密钥,并将令牌作为 VersionId。然后它使用 get_random_password 生成一个新的密钥值。接下来,它调用 put_secret_value 以将其与暂存标签 AWSPENDING 一起存储。将新的密钥值存储在 AWSPENDING 中有助于确保幂等性。如果由于任何原因轮换失败,您可以在后续调用中引用该密钥值。请参阅如何使我的 Lambda 函数具有幂等性

编写自己的轮换函数的技巧

  • 确保新的密钥值仅包含对数据库或服务有效的字符。使用 ExcludeCharacters 参数排除字符。

  • 在测试函数时,使用查看版本阶段:调用describe-secret并查看VersionIdsToStages。 Amazon CLI

  • 对于 Amazon RDS MySQL,在交替用户轮换中,Secrets Manager 会创建一个名称不超过 16 个字符的克隆用户。您可以修改轮换函数以允许使用更长的用户名。MySQL 5.7 及更高版本支持最多 32 个字符的用户名,但 Secrets Manager 会在用户名末尾附加“_clone”(六个字符),因此用户名最多必须保持在 26 个字符以内。

set_secret:更改数据库或服务中的凭证

方法 set_secret 更改数据库或服务中的凭证以匹配密钥的 AWSPENDING 版本中的新密钥值。

编写自己的轮换函数的技巧

  • 如果将语句传递给解释语句的服务(如数据库),请使用查询参数化。有关更多信息,请参阅 OWASP 网站上的 Query Parameterization Cheat Sheet

  • 轮换函数作为特权代理,有权访问和修改 Secrets Manager 密钥和目标资源中的客户凭证。为防范潜在的混淆代理攻击,您需要确保攻击者无法使用该函数访问其他资源。在更新凭证之前:

    • 检查密钥 AWSCURRENT 版本中的凭证是否有效。如果 AWSCURRENT 凭证无效,请放弃轮换尝试。

    • 检查 AWSCURRENTAWSPENDING 密钥值是否适用于同一资源。对于用户名和密码,检查 AWSCURRENTAWSPENDING 用户名是否相同。

    • 检查目标服务资源是否相同。对于数据库,检查 AWSCURRENTAWSPENDING 主机名是否相同。

  • 在极少数情况下,您可能希望为数据库自定义现有轮换功能。例如,对于交替用户轮换,Secrets Manager 通过复制第一个用户的运行时配置参数来创建克隆用户。如果要包含更多属性,或更改授予克隆用户的属性,则需要更新 set_secret 函数中的代码。

test_secret:测试新的密钥版本

然后,Lambda 轮换函数将使用该密钥来访问数据库或服务,从而测试密钥的 AWSPENDING 版本。基于 轮换函数模板 测试的轮换函数使用读取访问权限测试新的密钥。

finish_secret:完成轮换

最后,Lambda 轮换函数将标签 AWSCURRENT 从之前的密钥版本移动到此版本,这将同时在同一 API 调用中移除 AWSPENDING 标签。Secrets Manager 添加 AWSPREVIOUS 暂存标注到以前的版本,以便您保留密钥的上次已知良好的版本。

方法 finish_secret 使用 update_secret_version_stage 将暂存标签 AWSCURRENT 从早期密钥版本移动到新的密钥版本。Secrets Manager 会将 AWSPREVIOUS 暂存标签自动添加到早期版本,以便您保留上次已知良好的密钥版本。

编写自己的轮换函数的技巧

  • 在此AWSPENDING之前请不要移除,也不要使用单独的 API 调用将其移除,因为这可能向 Secrets Manager 表明轮换未成功完成。Secrets Manager 添加 AWSPREVIOUS 暂存标注到以前的版本,以便您保留密钥的上次已知良好的版本。

成功轮换后,AWSPENDING 暂存标签可能附加到与 AWSCURRENT 版本相同的版本,也可能未附加到任何版本。如果 AWSPENDING 暂存标签存在但未附加到与 AWSCURRENT 相同的版本,则以后对轮换的任何调用都假定先前的轮换请求仍在进行中并返回错误。轮换不成功时,AWSPENDING 暂存标签可能会附加到空密钥版本。有关更多信息,请参阅 轮换问题排查