如何使用秘密管理器编写用于 RDS 密码轮换的 lambda 函数？答案

【问题标题】：How to write lambda function for Rotation of RDS password using secrets manager?如何使用秘密管理器编写用于 RDS 密码轮换的 lambda 函数？
【发布时间】：2019-10-31 13:34:22
【问题描述】：

我需要帮助编写 lambda 函数：我有两个用户，一个是只读的，一个是 read_write_user。我想在只读用户的帮助下定期轮换 read_write_user 的密码。定期意味着，我将为 lambda 设置一个 cron 表达式，使其每 15 天运行一次。我不想使用秘密管理器的轮换配置。我怎样才能做到这一点？我尝试使用https://github.com/aws-samples/aws-secrets-manager-rotation-lambdas/blob/master/SecretsManagerRDSMySQLRotationMultiUser/lambda_function.py，但它比我需要的复杂得多。

【问题讨论】：

我很困惑。你的标题说你想使用 Secrets Manager，但你的问题说你不想使用它。您能否编辑您的问题以澄清您的愿望？您希望在 Secrets Manager 中保留当前密码吗？另外，“在只读用户的帮助下”是什么意思？
我想使用秘密管理器来检索存储的秘密，但我不想使用秘密管理器提供的轮换配置选项。
在这种情况下，您必须编写自己的代码（或从该函数中提取相关代码）登录到数据库并设置密码。请参阅提到IDENTIFIED BY 的部分，它设置了密码。
你能帮我如何提取和使代码工作吗？

标签： python aws-lambda aws-secrets-manager

【解决方案1】：

如果这是标准 RDS 数据库，您可以使用 Secrets Manager 控制台为您进行设置，您无需创建自己的 lambda。

将您的主 RDS 密码输入机密管理器。如果您不记得主密码，您可以reset it using the RDS console。现在您可以通过setting this up in the console 轮换您的只读和读写用户。当您进行设置时，选择“使用我之前存储在 AWS Secrets Manager 中的密钥”选项并选择您的主密码作为用于执行轮换的密码。

您还可以在主密码上设置"single user rotation"。当您在控制台中进行设置时，只需在询问要使用什么凭据时选择“使用相同的凭据”即可。

【讨论】：