Вращение пароля на AWS DocumentDB

Question

У нас есть локальный сервис, который мы хотим перевести на AWS.

Я изучаю возможность его перемещения и не уверен насчет ротации и хранения пароля.Я знаю, что Secrets Manager можно использовать с RDS достаточно хорошо, но я не уверен, насколько он подходит для DocumentDB

. При настройке нового кластера DocumentDB (с использованием шаблонов CF) требуется мастер-имя пользователя и пароль.,Каков наилучший подход к генерации пароля для этого шаблона CF?Можно ли это сделать с помощью администратора секретов: GetRandomPassword или это плохая практика?

Answer 1

AWS Secrets Manager теперь поддерживает встроенную интеграцию с Amazon DocumentDB: https://aws.amazon.com/blogs/security/how-to-rotate-amazon-documentdb-and-amazon-redshift-credentials-in-aws-secrets-manager/

Answer 2

Если вы использовали Secrets Manager с RDS, он должен подойти и для DocumentDB.Хотя Secret Manager не претендует на поддержку DocumentDB, у них есть лямбда-код ротации для MongoDB [1].Учитывая, что DocumentDB использует тот же протокол аутентификации, что и MongoDB (SCRAM-SHA-1), теоретически вы должны иметь возможность использовать секретный менеджер MongoDB lambda worker как есть.

[1] https://github.com/aws-samples/aws-secrets-manager-rotation-lambdas/blob/master/SecretsManagerMongoDBRotationSingleUser/lambda_function.py