本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
通过 Lambda 函数进行旋转
对于许多类型的密钥,Secrets Manager 使用 Amazon Lambda 函数来更新密钥以及数据库或服务。有关使用 Lambda 函数的成本的信息,请参阅 定价。
对于某些 托管密钥,可使用托管轮换。要使用 托管轮换,请首先通过管理服务来创建密钥。
在轮换期间,Secrets Manager 会录入指示轮换状态的事件。有关更多信息,请参阅 使用记录 Amazon Secrets Manager 事件 Amazon CloudTrail。
要轮换密钥,Secrets Manager 会根据你设置的轮换计划调用 Lambda 函数。如果在设置自动轮换时也手动更新密钥值,则 Secrets Manager 在计算下一次轮换日期时会认为这是有效的轮换。
在轮换过程中,Secrets Manager 调用几次同一函数,每次使用不同的参数。Secrets Manager 调用具有以下 JSON 请求参数结构的函数:
{ "Step" : "request.type", "SecretId" : "string", "ClientRequestToken" : "string" }
如果任何轮换步骤失败,Secrets Manager 会多次重试整个轮换过程。