growing hard days.

AWS Secrets ManagerのローテーションでLambda関数の管理が必要なくなりました

2023/01/29

Amazon RDS と AWS Secrets Manager の統合を発表というアップデートで「パスワードのローテーションを管理するカスタム Lambda 関数を設定するなどの複雑な認証情報管理作業から解放」とありましたので確認してみました。

目次

RDSインスタンス作成

マネジメントコンソールでデータベースエンジンを切り替えて確認していると、どのデータベースエンジンでも「Manage master credentials in AWS Secrets Manager – new」のチェックボックスが表示されていましたので、対応しているようです。

ユーザーガイドはこちらです。
* Password management with Amazon RDS and AWS Secrets Manager
* Password management with Amazon Aurora and AWS Secrets Manager

今回はServerless v2で作成してみました。

Secrets Managerで確認

シークレットが作成されていました。

Lambda関数はアカウントには作成されておらず、Lambda関数の一覧からももちろん確認できませんでした。

接続確認

マネジメントコンソールでシークレットを表示して、EC2インスタンスから接続確認してみました。

$ mysql -h database-1.cluster-c3gngubysyz7.us-east-1.rds.amazonaws.com -u admin -p'v2b2Y_J-}U]ue{&eP~d:F5ceV]l6'
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MySQL connection id is 32
Server version: 8.0.23 Source distribution

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MySQL [(none)]>

1

2

3

4

5

6

7

8

9

10

11

$ mysql -h database-1.cluster-c3gngubysyz7.us-east-1.rds.amazonaws.com -u admin -p'v2b2Y_J-}U]ue{&eP~d:F5ceV]l6'

Welcome to the MariaDB monitor. Commands end with ; or \g.

Your MySQL connection id is 32

Server version: 8.0.23 Source distribution

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

MySQL [(none)]>

問題なく接続できました。

[すぐにシークレットをローテーションさせる]からシークレットを更新して同様に確認して、ローテーションされたシークレットでの接続を確認しました。

最後までお読みいただきましてありがとうございました！

「AWS認定資格試験テキスト＆問題集　AWS認定ソリューションアーキテクト - プロフェッショナル改訂第2版」という本を書きました。

「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー改訂第3版」という本を書きました。

「ポケットスタディ AWS認定デベロッパーアソシエイト［DVA-C02対応］」という本を書きました。

「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

「AWSではじめるLinux入門ガイド」という本を書きました。

開発ベンダー5年、ユーザ企業システム部門通算9年、ITインストラクター5年目でプロトタイプビルダーもやりだしたSoftware Engineerです。
質問はコメントかSNSなどからお気軽にどうぞ。
出来る限りなるべく答えます。

このブログの内容/発言の一切は個人の見解であり、所属する組織とは関係ありません。
このブログは経験したことなどの共有を目的としており、手順や結果などを保証するものではありません。
ご参考にされる際は、読者様自身のご判断にてご対応をお願いいたします。

また、勉強会やイベントのレポートは自分が気になったことをメモしたり、聞いて思ったことを書いていますので、登壇者の意見や発表内容ではありません。

- AWS AWS, RDS, secretsmanager

Tweet

関連記事

: ACM(AWS Certificate Manager)の承認メールを受け取るためにAmazon SESを設定する

何のためでもいいのですが、ドメインは持っているけど、そのドメイン宛にメールを送ら …

: Amazon Connect 発信イベントをEventBridgeで確認

Amazon Connectから発信した電話に出たのか、出なかったのかを確認した …

: サービスディスカバリを使用してECSサービスの作成

ECSデベロッパーガイドのチュートリアル:サービスディスカバリを使用して、サービ …

: AWSルートユーザーのパスワード復旧

AWSルートユーザーのパスワード最設定は、メールアドレスだけでいいのですね。 M …

: AWS Cloud9でJavaサンプルを実行する

リモートで共有開発ができるCloud9便利ですね。 Cloud9でJavaのサン …

: AWS CLIからIAM Identity CenterへサインインしてCodeCommitのリポジトリを使用する

Macで操作しました。 AWS CLIバージョンアップ [crayon-6622 …

: AWS WAFのマネージドルールを見てみました

Web ACLで[Add managed rule groups]を選択しました …

: Amazon S3オブエジェクトへのリクエストをCloudTrail, Athenaで識別

こちらCloudTrail を使用した Amazon S3 リクエストの識別に書 …

: CloudWatch Internet Monitor(プレビュー)を試しました

Amazon CloudWatch Internet Monitor プレビュー …

: RDSのポイントインタイムリカバリをしました

WordPressで画像アップロードができなくなった(AWS WAFでブロックし …

PREV: JAWS-UG IoT専門支部「re:invent 2022 Recap(IoT風味マシマシ)」に参加しました
NEXT: RDSインスタンス作成時にEC2に接続設定するオプション