Функция AWS Secret Manager Lambda для ротации секретов

Я создал секрет другого типа. Я также добавил лямбда-функцию, как указано в этом шаблон. Теперь, когда я пытаюсь сразу повернуть, он говорит: «Не удалось повернуть секрет» TEST_SECRET_ROTATING Предыдущее вращение не завершено. Эта ротация будет повторена. Время ротации - один день, даже на следующий день я вижу, что секрет не обновляется. Я просто добавил эту лямбда-функцию. Нужно ли мне определять какой-либо параметр или любые другие настройки лямбда. Я также вижу в документации, что если вы включите автоматическое вращение, первое вращение произойдет сразу же, когда вы сохраните этот секрет. Но я эту ротацию не вижу даже в первый раз. Я также следил за этим вопросом здесь . Мне удалось найти идентификатор версии этапа AWSPENDING, я удаляю этот идентификатор версии ›немедленно нажмите на поворот секрета› Я вижу «Секрет успешно запланирован на ротацию» ›но секрет нас еще не изменил. Есть ли сейчас какие-либо проблемы с лямбда-кодом?


amazon-web-services aws-secrets-manager
person Jaishree Mishra    schedule 28.09.2020    source источник
comment
Отвечает ли это на ваш вопрос? диспетчер секретов AWS, предыдущая ротация не завершено "при ротации секретов   -  person JD D    schedule 29.09.2020
comment
Прикреплена ли функция к VPC?   -  person John Rotenstein    schedule 29.09.2020
comment
Функция @JohnRotenstein Lambda не была в VPC, поэтому, согласно вашему ответу, я добавил то же самое в частную подсеть, которая имеет шлюз nat, а также добавил группу безопасности. Поскольку это не секреты RDS, поэтому не уверен, что какие-либо настройки группы безопасности нуждаются в обновлении. Все еще сталкивается с той же проблемой   -  person Jaishree Mishra    schedule 29.09.2020
comment
@JDD, эта статья выглядит нормально, но я попробовал все ответы. Хорошая новость заключается в том, что после удаления идентификатора версии AWSPENDING я могу получить сообщение об успешном запланированном вращении. Но я не вижу изменения секрета в пользовательском интерфейсе.   -  person Jaishree Mishra    schedule 29.09.2020
comment
@JohnRotenstein хорошие новости: я могу найти идентификатор версии этапа AWSPENDING из команды aws secretsmanager list-secrets. Я удаляю этот идентификатор версии ›немедленно нажмите на поворот секрета› Я вижу, что вращение прошло успешно ›но секрет еще не изменен. Есть ли сейчас проблема с лямбда-кодом?   -  person Jaishree Mishra    schedule 29.09.2020

Ответы (1)


arrow_upward
0
arrow_downward

Ответ, данный в другом вопросе, хорош, но мне нужно было внести несколько изменений. В шаблоне кода не говорилось, что нам нужно создать конечную точку VPC для секретного менеджера SECRETS_MANAGER_ENDPOINT, нам нужно дать разрешение ключа KMS для роли лямбда, нам нужно чтобы добавить VPC в лямбда-функцию, как сказал Джон, мне также пришлось прокомментировать поднять NotImplementedError как в set_secret, так и в test_secret и дать проход.

person Jaishree Mishra    schedule 29.09.2020
comment
Его нужно добавлять в VPC только в том случае, если ему нужен доступ к ресурсам в VPC (например, при ротации секрета с RDS он должен находиться в том же VPC, что и RDS). Но если вы просто меняете секрет, не обновляя что-то в VPC, то он не должен быть подключен к VPC. - person John Rotenstein; 29.09.2020