growing hard days.

AWS Secrets ManagerのローテーションでLambda関数の管理が必要なくなりました

2023/01/29

Amazon RDS と AWS Secrets Manager の統合を発表というアップデートで「パスワードのローテーションを管理するカスタム Lambda 関数を設定するなどの複雑な認証情報管理作業から解放」とありましたので確認してみました。

目次

RDSインスタンス作成

マネジメントコンソールでデータベースエンジンを切り替えて確認していると、どのデータベースエンジンでも「Manage master credentials in AWS Secrets Manager – new」のチェックボックスが表示されていましたので、対応しているようです。

ユーザーガイドはこちらです。
* Password management with Amazon RDS and AWS Secrets Manager
* Password management with Amazon Aurora and AWS Secrets Manager

今回はServerless v2で作成してみました。

Secrets Managerで確認

シークレットが作成されていました。

Lambda関数はアカウントには作成されておらず、Lambda関数の一覧からももちろん確認できませんでした。

接続確認

マネジメントコンソールでシークレットを表示して、EC2インスタンスから接続確認してみました。

$ mysql -h database-1.cluster-c3gngubysyz7.us-east-1.rds.amazonaws.com -u admin -p'v2b2Y_J-}U]ue{&eP~d:F5ceV]l6'
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MySQL connection id is 32
Server version: 8.0.23 Source distribution

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MySQL [(none)]>

1

2

3

4

5

6

7

8

9

10

11

$ mysql -h database-1.cluster-c3gngubysyz7.us-east-1.rds.amazonaws.com -u admin -p'v2b2Y_J-}U]ue{&eP~d:F5ceV]l6'

Welcome to the MariaDB monitor. Commands end with ; or \g.

Your MySQL connection id is 32

Server version: 8.0.23 Source distribution

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MySQL [(none)]>

問題なく接続できました。

[すぐにシークレットをローテーションさせる]からシークレットを更新して同様に確認して、ローテーションされたシークレットでの接続を確認しました。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, RDS, secretsmanager

Tweet

関連記事

: QuickSightのVisualizeをダッシュボード化して定期メール

「Backlogの実績工数をAmazon QuickSightで可視化してわかっ …

: S3バケットのデフォルト暗号化はデフォルトだったことを確認しました

S3バケットのデフォルト暗号化は名前のとおりだとデフォルトなので、暗号化を指定し …

: AWS Step Functions まずはパラレルでLambdaを並列実行してみました

複数のlambdaの実行制御をLambdaでやってましたが、その部分をStep …

: IAMアクセス許可の境界でIAMロールの権限を制御する

IAMユーザー自身の権限はIAMポリシーで制御できますが、IAMユーザーにIAM …

: 5分でAlexaスキルを作る

「JAWS-UG Osaka 第22回勉強会東西の中の人が語る!!! Micr …

: AWS Storage Gatewayボリュームゲートウェイを作成してWindowsから使用

ボリュームゲートウェイの作成 Storage Gateway作成メニューからボリ …

: AWS Code Commitをプライベートリポジトリとして使う

GitHubでもいいんですが、アクセスキーとかパスワードとかコンフィグ系で書いて …

: Amazon ECS Workshop for AWS Summit Online

INTRODUCTION TO AMAZON ECSに手順や必要なリンクがありま …

: RDSのスナップショットをS3へエクスポートが日本語マネジメントコンソールでもできるようになってました

RDSスナップショットをS3にエクスポートする新機能を試そうかと思ったのときは、 …

: AWS Secrets Manager交代ユーザーローテーション

AWS Secrets Managerの交代ユーザーローテーションを確認してみま …

PREV: JAWS-UG IoT専門支部「re:invent 2022 Recap(IoT風味マシマシ)」に参加しました
NEXT: RDSインスタンス作成時にEC2に接続設定するオプション