Question

Насколько я понимаю, Secrets Manager может автоматически поворачивать пароль для базы данных RDS. Когда это происходит, существует ли состояние гонки для долго работающих процессов, использующих старый секрет?

Я не могу найти документацию, описывающую это состояние гонки, но я представляю, что процесс, выполняющийся непосредственно перед поворотом ключа и использующий старый секрет, не сможет попасть в базу данных, пока он не получит новый секрет , Это правда?

jarmod · Answer 1 · 16 марта 2020

Согласно комментариям в Автоматическое вращение учетных данных базы данных Amazon RDS с помощью AWS Secrets Manager | AWS Блог безопасности , о ротации RDS и секретов:

Базы данных аутентифицируются при установлении соединения. В результате на открытые соединения не влияют ротации, выполняемые Secrets Manager.

Таким образом, ваш процесс подключения к RDS всегда должен быть таким:

получить секреты от Secret Manager
создать соединение с БД

Я полагаю, что между 1 и 2 есть маленькое окно, поэтому для надежности вы можете написать это с помощью обработчика исключений / ошибок, чтобы он может повторно извлечь секреты и повторить попытку подключения один раз, если вы видите временную ошибку аутентификации.

AWS чередование диспетчера секретов для учетных данных RDS

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

AWS чередование диспетчера секретов для учетных данных RDS

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов