Solucionar problemas de rotación AWS Secrets Manager - AWS Secrets Manager
Pasos para la solución de problemasNo hay actividad después de “Found credentials in environment variables” (Se encontraron credenciales en variables de entorno)No hay actividad después de createSecretError: “No se permite el acceso a KMS”Error: “Key is missing from secret JSON” (Falta la clave en el JSON del secreto)Error: “setSecret: Unable to log into database” (setSecret: no se puede iniciar sesión en la base de datos)Error: “No se puede importar el módulo 'lambda_function'”Se ha actualizado una función de rotación existente de Python 3.7 a 3.9Se ha actualizado una función de rotación existente de Python 3.9 a 3.10AWS Lambda rotación secreta con error PutSecretValueFallos de rotación intermitentes

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solucionar problemas de rotación AWS Secrets Manager

Para muchos servicios, Secrets Manager utiliza una función de Lambda para rotar secretos. Para obtener más información, consulte Rotación con función de Lambda. La función de rotación de Lambda interactúa con la base de datos o el servicio para el que está destinado el secreto, así como con Secrets Manager. Si la rotación no funciona de la manera esperada, primero debe comprobar los CloudWatch registros.

nota

Algunos servicios pueden administrar los secretos por usted, incluida la administración de la rotación automática. Para obtener más información, consulte Rotación gestionada de AWS Secrets Manager secretos.

¿Cómo solucionar errores de rotación secretos en las funciones AWS Lambda

Si ocurren errores de rotación de secretos en sus funciones de Lambda, siga los siguientes pasos para solucionar el problema.

Causas posibles

  • Ejecuciones simultáneas insuficientes para la función de Lambda

  • Condiciones de carrera provocadas por múltiples llamadas a la API durante la rotación

  • Lógica de función de Lambda incorrecta

  • Problemas de red entre la función de Lambda y la base de datos

Pasos generales para las soluciones de problemas

  1. Analice los CloudWatch registros:

    • Busque mensajes de error específicos o comportamientos inesperados en los registros de las funciones de Lambda

    • Compruebe que se estén intentando realizar todos los pasos de rotación (CreateSecret, SetSecret, TestSecret, FinishSecret)

  2. Revise las llamadas a la API durante la rotación:

    • Evite realizar llamadas a la API mutantes en el secreto durante la rotación de Lambda

    • Asegúrese de que no haya ninguna condición de carrera entre las llamadas RotateSecret y PutSecretValue

  3. Compruebe la lógica de la función de Lambda:

    • Confirma que estás usando el código de AWS muestra más reciente para la rotación secreta

    • Si utiliza un código personalizado, revíselo para comprobar que se gestionan correctamente todos los pasos de rotación

  4. Compruebe la configuración de la red:

    • Verifique que las reglas del grupo de seguridad permitan a la función de Lambda acceder a la base de datos

    • Garantice el acceso adecuado al punto de conexión de VPC o al punto de conexión público para Secrets Manager

  5. Pruebe versiones de un secreto:

    • Comprueba que la AWSCURRENT versión del secreto permita el acceso a la base de datos

    • Compruebe AWSPREVIOUS si nuestras AWSPENDING versiones son válidas

  6. Borre las rotaciones pendientes:

    • Si la rotación falla constantemente, borre la etiqueta AWSPENDING provisional y vuelva a intentar la rotación

  7. Compruebe la configuración de simultaneidad de Lambda:

    • Compruebe que la configuración de simultaneidad sea adecuada para su carga de trabajo

    • Consulte la sección “Solución de problemas de rotación relacionados con la simultaneidad” si sospecha que hay problemas de simultaneidad.

No hay actividad después de “Found credentials in environment variables” (Se encontraron credenciales en variables de entorno)

Si no hay actividad después de “Found credentials in environment variables” (Se encontraron credenciales en variables de entorno) y la duración de la tarea es larga (por ejemplo, el tiempo de espera predeterminado de Lambda de 30 000 ms), es posible que la función de Lambda agote el tiempo de espera al intentar llegar al punto de conexión de Secrets Manager.

La función de rotación de Lambda debe ser capaz de acceder a un punto de enlace de Secrets Manager. Si la función de Lambda puede acceder a Internet, puede utilizar un punto de enlace público. Para buscar un punto de conexión, consulte AWS Secrets Manager puntos finales.

Si la función de Lambda se ejecuta en una VPC que no tiene acceso a Internet, recomendamos configurar los puntos de enlace privados del servicio de Secrets Manager dentro de la VPC. La VPC puede interceptar entonces las solicitudes dirigidas al punto de enlace regional público y redirigirlas al punto de enlace privado. Para obtener más información, consulte Puntos de conexión de VPC (AWS PrivateLink).

También puede habilitar la función de Lambda para acceder a un punto de conexión público de Secrets Manager. Para ello, agregue una puerta de enlace NAT o una puerta de enlace de Internet a su VPC. Esto permite que el tráfico de la VPC alcance el punto de conexión público. Esto expone a la VPC a más riesgo, ya que desde la red pública de Internet se puede atacar la dirección IP de la gateway.

No hay actividad después de createSecret

A continuación, se indican los problemas que pueden provocar que la rotación se detenga después de createSecret:

La red de VPC ACLs no permite la entrada y salida del tráfico HTTPS.

Para obtener más información, consulte Control del tráfico a las subredes mediante la red ACLs en la Guía del usuario de Amazon VPC.

La configuración del tiempo de espera de la función de Lambda es demasiado corta para realizar la tarea.

Para obtener más información, consulte Configuración de las opciones de las funciones de Lambda en la Guía para desarrolladores de AWS Lambda .

El punto final de la VPC de Secrets Manager no permite que la VPC entre CIDRs en los grupos de seguridad asignados.

Para obtener más información, consulte Controlar el tráfico hacia los recursos mediante grupos de seguridad en la Guía del usuario de Amazon VPC.

La política de puntos de conexión de VPC de Secrets Manager no permite que Lambda utilice el punto de conexión de VPC.

Para obtener más información, consulte Uso de un punto final AWS Secrets Manager de VPC.

El secreto utiliza la rotación de usuarios alternativos, Amazon RDS administra el secreto del superusuario y la función de Lambda no puede acceder a la API de RDS.

Para la rotación alternativa de los usuarios donde otro AWS servicio es el que gestiona el superusuario, Lambda debe poder llamar al punto de conexión del servicio de Amazon RDS para obtener la información de conexión de la base de datos. Recomendamos configurar un punto de conexión de VPC para el servicio de base de datos. Para obtener más información, consulte lo siguiente:

Error: “No se permite el acceso a KMS”

Si ve ClientError: An error occurred (AccessDeniedException) when calling the GetSecretValue operation: Access to KMS is not allowed, la función de rotación no tiene permiso para descifrar el secreto mediante la clave de KMS que se utilizó para cifrarlo. Es posible que haya una condición en la política de permisos que limite el contexto de cifrado a un secreto específico. Para obtener más información acerca del permiso necesario, consulte Instrucción de política para una clave administrada por el cliente.

Error: “Key is missing from secret JSON” (Falta la clave en el JSON del secreto)

Una función de rotación de Lambda requiere que el valor del secreto esté en una estructura JSON específica. Si aparece este error, es posible que falte una clave en el JSON a la que la función de rotación intentó acceder. Para obtener información sobre la estructura JSON de cada tipo de secreto, consulte Estructura JSON de AWS Secrets Manager secretos.

Error: “setSecret: Unable to log into database” (setSecret: no se puede iniciar sesión en la base de datos)

A continuación, se indican los problemas que pueden provocar este error:

La función de rotación no puede acceder a la base de datos.

Si la duración de la tarea es larga (por ejemplo, más de 5000 ms), es posible que la función de rotación de Lambda no pueda acceder a la base de datos a través de la red.

Si su base de datos o servicio se ejecuta en una EC2 instancia de Amazon en una VPC, le recomendamos que configure la función Lambda para que se ejecute en la misma VPC. A continuación, la función de rotación puede comunicarse directamente con el servicio. Para obtener más información, consulte Configuración del acceso a la VPC.

Para permitir que la función de Lambda tenga acceso a la base de datos o el servicio, debe asegurarse de que los grupos de seguridad adjuntos a la función de rotación de Lambda permitan conexiones salientes a la base de datos o el servicio. Asimismo, debe asegurarse de que los grupos de seguridad adjuntos a la base de datos o el servicio permitan conexiones entrantes desde la función de rotación de Lambda.

Las credenciales del secreto son incorrectas.

Si la duración de la tarea es corta, es posible que la función de rotación de Lambda no pueda autenticarse con las credenciales del secreto. Compruebe las credenciales iniciando sesión manualmente con la información de AWSPREVIOUS las versiones AWSCURRENT y del secreto mediante el comando. AWS CLI get-secret-value

La base de datos utiliza scram-sha-256 para cifrar las contraseñas.

Si la base de datos es Aurora PostgreSQL versión 13 o posterior y utiliza scram-sha-256 para cifrar contraseñas, pero la función de rotación utiliza libpq versión 9 o posterior, que no admite scram-sha-256, la función de rotación no se puede conectar a la base de datos.

Para determinar qué usuarios de bases de datos utilizan cifrado con scram-sha-256

  • Consulte Checking for users with non-SCRAM passwords (Búsqueda de usuarios con contraseñas que no sean de Scram) en la entrada de blog SCRAM Authentication in RDS for PostgreSQL 13 (Autenticación SCRAM en RDS para PostgreSQL 13).

Para determinar qué versión de libpq utiliza la función de rotación

  1. En un equipo basado en Linux, en la consola de Lambda, vaya a la función de rotación y descargue el paquete de implementación. Descomprima el archivo zip en un directorio de trabajo.

  2. En una línea de comandos, en el directorio de trabajo, ejecute:

    readelf -a libpq.so.5 | grep RUNPATH

  3. Si ve la cadena PostgreSQL-9.4.x, o bien una versión principal inferior a 10, entonces la función de rotación no admite scram-sha-256.

    • Salida de una función de rotación que no admite scram-sha-256:

      0x000000000000001d (RUNPATH) Library runpath: [/local/p4clients/pkgbuild-a1b2c/workspace/build/PostgreSQL/PostgreSQL-9.4.x_client_only.123456.0/AL2_x86_64/DEV.STD.PTHREAD/build/private/tmp/brazil-path/build.libfarm/lib:/local/p4clients/pkgbuild-a1b2c/workspace/src/PostgreSQL/build/private/install/lib]

    • Salida de una función de rotación que admite scram-sha-256:

      0x000000000000001d (RUNPATH) Library runpath: [/local/p4clients/pkgbuild-a1b2c/workspace/build/PostgreSQL/PostgreSQL-10.x_client_only.123456.0/AL2_x86_64/DEV.STD.PTHREAD/build/private/tmp/brazil-path/build.libfarm/lib:/local/p4clients/pkgbuild-a1b2c/workspace/src/PostgreSQL/build/private/install/lib]

    • Salida de una función de rotación que admite scram-sha-256:

      0x000000000000001d (RUNPATH) Library runpath: [/local/p4clients/pkgbuild- a1b2c /workspace/build/PostgreSQL/PostgreSQL-14.x_client_only. 123456 .0/AL2_x86_64/DEV.STD.PTHREAD/build/private/tmp/brazil-path/build.libfarm/lib:/local/p4clients/pkgbuild- a1b2c /workspace/src/PostgreSQL/build/private/install/lib]

    • Salida de una función de rotación que admite scram-sha-256:

      0x000000000000001d (RUNPATH) Library runpath: [/local/p4clients/pkgbuild- a1b2c/workspace/build/PostgreSQL/PostgreSQL- 14.x_client_only.123456.0/AL2_x86_64/DEV.STD.PTHREAD/build/private/tmp/brazil- path/build.libfarm/lib:/local/p4clients/pkgbuild- a1b2c/workspace/src/PostgreSQL/build/private/install/lib]

nota

Si la rotación de secretos automática se configuró antes del 30 de diciembre de 2021, la función de rotación incluía una versión previa de libpq que no admite scram-sha-256. Para que se admita scram-sha-256, se debe volver a crear la función de rotación.

Es necesario SSL/TLS acceder a la base de datos.

Si la base de datos requiere una SSL/TLS conexión, pero la función de rotación utiliza una conexión no cifrada, la función de rotación no podrá conectarse a la base de datos. Las funciones de rotación de Amazon RDS (a excepción de Oracle y Db2) y Amazon DocumentDB utilizan una capa de sockets seguros (SSL) o una seguridad de la capa de transporte (TLS) de forma automática para conectarse a su base de datos, si está disponible. De lo contrario, utilizan una conexión no cifrada.

nota

Si configuras la rotación secreta automática antes del 20 de diciembre de 2021, la función de rotación podría estar basada en una plantilla anterior que no era compatibleSSL/TLS. To support connections that use SSL/TLS, por lo que tendrás que volver a crear la función de rotación.

Para determinar cuándo se creó la función de rotación

  1. En la consola de Secrets Manager https://console.aws.amazon.com/secretsmanager/, abre tu secreto. En la sección Rotation configuration (Configuración de rotación), en Lambda rotation function (Función de rotación de Lambda), podrá ver Lambda function ARN (ARN de la función de Lambda), por ejemplo, arn:aws:lambda:aws-region:123456789012:function:SecretsManagerMyRotationFunction . Copie el nombre de la función desde el final del ARN, que en este ejemplo sería SecretsManagerMyRotationFunction .

  2. En la AWS Lambda consola https://console.aws.amazon.com/lambda/, en Funciones, pegue el nombre de la función Lambda en el cuadro de búsqueda, elija Entrar y, a continuación, elija la función Lambda.

  3. En la página de detalles de la función, en la pestaña Configuration (Configuración), en Tags (Etiquetas), copie el valor junto a la clave aws:cloudformation:stack-name.

  4. En la AWS CloudFormation consola https://console.aws.amazon.com/cloudformation, en Stacks, pega el valor de la clave en el cuadro de búsqueda y, a continuación, selecciona Entrar.

  5. La lista de pilas se filtra para que, de esta manera, aparezca únicamente la pila que creó la función de rotación de Lambda. En la columna Created date (Fecha de creación), consulte la fecha en que se creó la pila. Esta es la fecha en que se creó la función de rotación de Lambda.

Error: “No se puede importar el módulo 'lambda_function'”

Es posible que reciba este error si ejecuta una función de Lambda anterior que se actualizó automáticamente de Python 3.7 a una versión más reciente de Python. Para resolver el error, puede volver a cambiar la versión de la función de Lambda a Python 3.7 y, a continuación, Se ha actualizado una función de rotación existente de Python 3.7 a 3.9. Para obtener más información, consulte ¿Por qué no se pudo rotar la función de Lambda de Secrets Manager y recibí el error “No se encontró el módulo pg”? en AWS  re:Post.

Se ha actualizado una función de rotación existente de Python 3.7 a 3.9

Algunas funciones de rotación creadas antes de noviembre de 2022 utilizaban Python 3.7. El AWS SDK para Python dejó de ser compatible con Python 3.7 en diciembre de 2023. Para obtener más información, consulte Actualizaciones de la política de soporte de Python para AWS SDKs y Herramientas. Para cambiar a una nueva función de rotación que utilice Python 3.9, puede añadir una propiedad de tiempo de ejecución a una función de rotación existente o volver a crear la función de rotación.

Para encontrar las funciones de rotación de Lambda, utilice Python 3.7

  1. Inicie sesión en Consola de administración de AWS y abra la AWS Lambda consola en https://console.aws.amazon.com/lambda/.

  2. En la lista Funciones, filtre por SecretsManager.

  3. En la lista filtrada de funciones, en Tiempo de ejecución, busque Python 3.7.

Opción 1: Vuelva a crear la función de rotación mediante CloudFormation

Cuando se utiliza la consola de Secrets Manager para activar la rotación, Secrets Manager se utiliza CloudFormation para crear los recursos necesarios, incluida la función de rotación de Lambda. Si ha utilizado la consola para activar la rotación o ha creado la función de rotación mediante una CloudFormation pila, puede utilizar la misma CloudFormation pila para volver a crear la función de rotación con un nombre nuevo. La nueva función usa la versión más reciente de Python.

Para buscar la CloudFormation pila que creó la función de rotación

  • En la página de detalles de la función de Lambda, seleccione la pestaña Configuración, y elija Etiquetas. Vea el ARN junto a aws:cloudformation:stack-id.

    El nombre de la pila está incrustado en el ARN, como se muestra en el siguiente ejemplo.

    • ARN: arn:aws:cloudformation:us-west-2:408736277230:stack/SecretsManagerRDSMySQLRotationSingleUser5c2-SecretRotationScheduleHostedRotationLambda-3CUDHZMDMBO8/79fc9050-2eef-11ed-80f0-021fb13c0537

    • Nombre de pila: SecretsManagerRDSMySQLRotationSingleUser5c2-SecretRotationScheduleHostedRotationLambda

Para recrear una función de rotación (CloudFormation)

  1. En CloudFormation, busque la pila por su nombre y, a continuación, seleccione Actualizar.

    Si aparece un cuadro de diálogo en el que se recomienda actualizar la pila raíz, seleccione Ir a la pila raíz y, a continuación, elija Actualizar.

  2. En la página de Pila de actualizaciones, en Preparar plantilla, elija Editar en Application Composer y, a continuación, en Editar plantilla en Application Composer, elija el botón Editar en Application Composer.

  3. En Application Composer, haga lo siguiente:

    1. En el código de la plantilla, en SecretRotationScheduleHostedRotationLambda, sustituya el valor para "functionName": "SecretsManagerTestRotationRDS" por un nuevo nombre de función, por ejemplo, en JSON, "functionName": "SecretsManagerTestRotationRDSupdated"

    2. Seleccione Actualizar plantilla.

    3. En el cuadro de diálogo Continuar a CloudFormation, elija Confirmar y continuar a CloudFormation.

  4. Continúe con el flujo de trabajo de la CloudFormation pila y, a continuación, seleccione Enviar.

Opción 2: actualice el tiempo de ejecución de la función de rotación existente mediante CloudFormation

Cuando se utiliza la consola de Secrets Manager para activar la rotación, Secrets Manager se utiliza CloudFormation para crear los recursos necesarios, incluida la función de rotación de Lambda. Si ha utilizado la consola para activar la rotación o ha creado la función de rotación mediante una CloudFormation pila, puede utilizar la misma CloudFormation pila para actualizar el tiempo de ejecución de la función de rotación.

Para buscar la CloudFormation pila que creó la función de rotación

  • En la página de detalles de la función de Lambda, seleccione la pestaña Configuración, y elija Etiquetas. Vea el ARN junto a aws:cloudformation:stack-id.

    El nombre de la pila está incrustado en el ARN, como se muestra en el siguiente ejemplo.

    • ARN: arn:aws:cloudformation:us-west-2:408736277230:stack/SecretsManagerRDSMySQLRotationSingleUser5c2-SecretRotationScheduleHostedRotationLambda-3CUDHZMDMBO8/79fc9050-2eef-11ed-80f0-021fb13c0537

    • Nombre de pila: SecretsManagerRDSMySQLRotationSingleUser5c2-SecretRotationScheduleHostedRotationLambda

Para actualizar el tiempo de ejecución de una función de rotación (CloudFormation)

  1. En CloudFormation, busque la pila por su nombre y, a continuación, seleccione Actualizar.

    Si aparece un cuadro de diálogo en el que se recomienda actualizar la pila raíz, seleccione Ir a la pila raíz y, a continuación, elija Actualizar.

  2. En la página de Pila de actualizaciones, en Preparar plantilla, elija Editar en Application Composer y, a continuación, en Editar plantilla en Application Composer, elija el botón Editar en Application Composer.

  3. En Application Composer, haga lo siguiente:

    1. En la plantilla JSON, para SecretRotationScheduleHostedRotationLambda, en Properties, en Parameters, agregue "runtime": "python3.9".

    2. Seleccione Actualizar plantilla.

    3. En el cuadro de diálogo Continuar a CloudFormation, elija Confirmar y continuar a CloudFormation.

  4. Continúe con el flujo de trabajo de la CloudFormation pila y, a continuación, seleccione Enviar.

Opción 3: Para AWS CDK los usuarios, actualice la biblioteca de CDK

Si utilizaste la versión AWS CDK anterior a la v2.94.0 para configurar la rotación de tu secreto, puedes actualizar la función Lambda actualizándola a la v2.94.0 o posterior. Para obtener más información, consulte Guía para desarrolladores de AWS Cloud Development Kit (AWS CDK) v2.

Se ha actualizado una función de rotación existente de Python 3.9 a 3.10

Secrets Manager está realizando la transición de Python 3.9 a 3.10 para las funciones de rotación de Lambda. Para cambiar a una nueva función de rotación que utilice Python 3.10, deberá seguir la ruta de actualización según el método de implementación. Utilice los siguientes procedimientos para actualizar la versión de Python y las dependencias subyacentes.

Para encontrar las funciones de rotación de Lambda, utilice Python 3.9

  1. Inicie sesión en Consola de administración de AWS y abra la AWS Lambda consola en https://console.aws.amazon.com/lambda/.

  2. En la lista Funciones, filtre por SecretsManager.

  3. En la lista filtrada de funciones, en Tiempo de ejecución, busque Python 3.9.

Actualice las rutas por método de implementación

Las funciones de rotación de Lambda identificadas en esta lista se pueden implementar mediante la consola, AWS Serverless Application Repository las aplicaciones o CloudFormation las transformaciones de Secrets Manager. Cada una de estas estrategias de implementación tiene una ruta de actualización distinta.

Utilice uno de los siguientes procedimientos para actualizar las funciones de rotación de Lambda, según cómo se haya implementado la función.

AWS Secrets Manager console-deployed functions

Se debe implementar una nueva función de Lambda a través de la AWS Secrets Manager consola, ya que no se pueden actualizar manualmente las dependencias de las funciones de Lambda existentes.

Utilice el siguiente procedimiento para actualizar las funciones implementadas en la consola AWS Secrets Manager .

  1. Abra la consola de Secrets Manager en https://console.aws.amazon.com/secretsmanager/.

  2. En AWS Secrets Manager, seleccione Secretos. Seleccione el secreto que utiliza la función de Lambda que desea actualizar.

  3. Vaya a la pestaña Rotaciones y seleccione la opción Actualizar configuraciones de rotación.

  4. En Funciones de rotación, seleccione Crear una nueva función de Lambda e ingrese un nombre para la función de rotación de Lambda.

    1. (Opcional) Una vez finalizada la actualización, puede probar la función de Lambda actualizada para confirmar que funciona según lo previsto. En la pestaña Rotación, seleccione Rotar de forma secreta inmediatamente para iniciar una rotación inmediata.

    2. (Opcional) Puedes ver tus registros de funciones y la versión de Python utilizada en tiempo de ejecución en Amazon CloudWatch. Para obtener más información, consulte Visualización de CloudWatch registros de funciones Lambda en la Guía para AWS Lambda desarrolladores.

  5. Una vez configurada la nueva función de rotación, puede eliminar la función de rotación anterior.

AWS Serverless Application Repository deployments

El siguiente procedimiento muestra cómo actualizar las AWS Serverless Application Repository implementaciones. Las funciones Lambda que se despliegan AWS Serverless Application Repository tienen un banner This function belongs to an application. Click here to manage it. que indica que incluye un enlace a la aplicación Lambda a la que pertenece la función.

importante

AWS Serverless Application Repository la disponibilidad depende. Región de AWS

Utilice el siguiente procedimiento para actualizar las funciones AWS Serverless Application Repository desplegadas.

  1. Abra la AWS Lambda consola en https://console.aws.amazon.com/lambda/.

  2. Vaya a la pestaña Configuraciones de la función de Lambda que debe actualizarse.

    1. Necesitará la siguiente información sobre su función al actualizar la AWS Serverless Application Repository aplicación implementada. Puede encontrar esta información en la consola de Lambda.

      • Nombre de la aplicación de Lambda

        • El nombre de la aplicación de Lambda se encuentra en el enlace del encabezado. Por ejemplo, el encabezado establece el siguiente serverlessrepo-SecretsManagerRedshiftRotationSingleUser. En este ejemplo, el nombre del rol es SecretsManagerRedshiftRotationSingleUser.

      • Nombre de la función de rotación de Lambda

      • Punto final Secrets Manager

        • El punto de conexión se encuentra en las pestañas Configuraciones y Variables de entorno asignadas a la variable SECRETS_MANAGER_ENDPOINT.

  3. Para actualizar Python, debe actualizar la versión semántica de la aplicación sin servidor. Consulte Actualización de aplicaciones en la Guía para desarrolladores de AWS Serverless Application Repository .

Custom Lambda rotation functions

Si creó funciones de rotación de Lambda personalizadas, tendrá que actualizar las dependencias y los tiempos de ejecución de cada paquete para estas funciones. Para obtener más información, consulte Actualizar el tiempo de ejecución de la función de Lambda a la versión más reciente.

AWS::SecretsManager-2024-09-16 transform macro

Si la función de Lambda se implementa mediante esta transformación, la actualización de las pilas mediante la plantilla existente le permitirá utilizar el tiempo de ejecución de Lambda actualizado.

Utilice el siguiente procedimiento para actualizar la CloudFormation pila mediante la plantilla existente.

  1. Abre la CloudFormation consola en https://console.aws.amazon.com/cloudformation.

  2. En la página Pias, seleccione la pila en ejecución que desea actualizar.

  3. En el panel de detalles de la pila, elija Actualizar.

  4. En Elija un método de actualización de plantillas, seleccione Actualización directa.

  5. En la página Especificar plantilla, seleccione Utilizar una plantilla existente.

  6. Mantenga el resto de opciones con sus valores predeterminados y luego seleccione Actualizar pila.

Si tiene problemas al actualizar la pila, consulte Determine la causa de una falla en la pila en la Guía del usuario de CloudFormation .

AWS::SecretsManager-2020-07-23 transform macro

Recomendamos que migre a la versión de transformación más reciente si está utilizando AWS::SecretsManager-2020-07-23. Para obtener más información, consulte Introducción a una versión mejorada de la AWS Secrets Manager transformación AWS:: SecretsManager -2024-09-16 en el AWS blog de seguridad. Si continúa utilizando AWS::SecretsManager-2020-07-23, puede producirse un error de discordancia entre la versión en tiempo de ejecución y los artefactos del código de la función de Lambda. Para obtener más información, consulte AWS:::SecretsManager: RotationSchedule HostedRotationLambda en la referencia de la plantilla.CloudFormation

Si tiene problemas al actualizar la pila, consulte Determinar la causa de un error en la pila en la Guía del usuario de CloudFormation .
Cómo verificar la actualización de Python

Para comprobar la actualización de Python, abra la consola Lambda (https://console.aws.amazon.com/lambda/) y acceda a la página de funciones. Seleccione la función que ha actualizado. En la sección Código origen, revise los archivos incluidos en el directorio y asegúrese de que el archivo .so de Python sea de la versión 3.10.

AWS Lambda rotación secreta con error PutSecretValue

Si utiliza un rol asumido o una rotación entre cuentas con Secrets Manager y encuentra un RotationFailed evento CloudTrail con el mensaje: LAMBDA_ARN.Lambda no SECRET_ARN creó la versión secreta pendiente de Secret. Quite AWSPENDING la etiqueta de ensayo y reinicie la rotación, tendrá que actualizar la función de Lambda VERSION_ID para usar el parámetro. RotationToken

Cómo actualizar la función de rotación de Lambda para incluir RotationToken

  1. Cómo descargar el código de la función de Lambda

    • Abra la consola de Lambda

    • Seleccione Funciones en el panel de navegación

    • Seleccione su función de rotación secreta de Lambda para el nombre de la función

    • En Descargar, elija una de las siguientes opciones: Código de función .zip, archivo AWS SAM , Ambos

    • Pulse Aceptar para guardar la función en su máquina local.

  2. Editar Lambda_handler

    Incluye el parámetro rotation_token en el paso create_secret para la rotación entre cuentas:

    
def lambda_handler(event, context):
    """Secrets Manager Rotation Template

    This is a template for creating an AWS Secrets Manager rotation lambda

    Args:
        event (dict): Lambda dictionary of event parameters. These keys must include the following:
            - SecretId: The secret ARN or identifier
            - ClientRequestToken: The ClientRequestToken of the secret version
            - Step: The rotation step (one of createSecret, setSecret, testSecret, or finishSecret)
            - RotationToken: the rotation token to put as parameter for PutSecretValue call

        context (LambdaContext): The Lambda runtime information

    Raises:
        ResourceNotFoundException: If the secret with the specified arn and stage does not exist

        ValueError: If the secret is not properly configured for rotation

        KeyError: If the event parameters do not contain the expected keys

    """
    arn = event['SecretId']
    token = event['ClientRequestToken']
    step = event['Step']
    # Add the rotation token
    rotation_token = event['RotationToken']

    # Setup the client
    service_client = boto3.client('secretsmanager', endpoint_url=os.environ['SECRETS_MANAGER_ENDPOINT'])

    # Make sure the version is staged correctly
    metadata = service_client.describe_secret(SecretId=arn)
    if not metadata['RotationEnabled']:
        logger.error("Secret %s is not enabled for rotation" % arn)
        raise ValueError("Secret %s is not enabled for rotation" % arn)
    versions = metadata['VersionIdsToStages']
    if token not in versions:
        logger.error("Secret version %s has no stage for rotation of secret %s." % (token, arn))
        raise ValueError("Secret version %s has no stage for rotation of secret %s." % (token, arn))
    if "AWSCURRENT" in versions[token]:
        logger.info("Secret version %s already set as AWSCURRENT for secret %s." % (token, arn))
        return
    elif "AWSPENDING" not in versions[token]:
        logger.error("Secret version %s not set as AWSPENDING for rotation of secret %s." % (token, arn))
        raise ValueError("Secret version %s not set as AWSPENDING for rotation of secret %s." % (token, arn))
    # Use rotation_token
    if step == "createSecret":
        create_secret(service_client, arn, token, rotation_token)

    elif step == "setSecret":
        set_secret(service_client, arn, token)
    
    elif step == "testSecret":
        test_secret(service_client, arn, token)
        
    elif step == "finishSecret":
        finish_secret(service_client, arn, token)
        
    else:
        raise ValueError("Invalid step parameter")

  3. Edite el código create_secret

    Revise la función create_secret para aceptar y usar el parámetro rotation_token:

    
# Add rotation_token to the function
def create_secret(service_client, arn, token, rotation_token):
"""Create the secret

This method first checks for the existence of a secret for the passed in token. If one does not exist, it will generate a
new secret and put it with the passed in token.

Args:
service_client (client): The secrets manager service client

arn (string): The secret ARN or other identifier

token (string): The ClientRequestToken associated with the secret version

rotation_token (string): the rotation token to put as parameter for PutSecretValue call

Raises:
ResourceNotFoundException: If the secret with the specified arn and stage does not exist

"""
# Make sure the current secret exists
service_client.get_secret_value(SecretId=arn, VersionStage="AWSCURRENT")

# Now try to get the secret version, if that fails, put a new secret
try:
service_client.get_secret_value(SecretId=arn, VersionId=token, VersionStage="AWSPENDING")
logger.info("createSecret: Successfully retrieved secret for %s." % arn)
except service_client.exceptions.ResourceNotFoundException:
# Get exclude characters from environment variable
exclude_characters = os.environ['EXCLUDE_CHARACTERS'] if 'EXCLUDE_CHARACTERS' in os.environ else '/@"\'\\'
# Generate a random password
passwd = service_client.get_random_password(ExcludeCharacters=exclude_characters)

# Put the secret, using rotation_token
service_client.put_secret_value(SecretId=arn, ClientRequestToken=token, SecretString=passwd['RandomPassword'], VersionStages=['AWSPENDING'], RotationToken=rotation_token)
logger.info("createSecret: Successfully put secret for ARN %s and version %s." % (arn, token))

  4. Suba el código de una función de Lambda actualizada

    Tras actualizar el código de la función de Lambda, cárguelo para rotar su secreto.

Si se producen errores de rotación secreta intermitentes y la función de Lambda se queda atascada en un bucle de conjuntos, por ejemplo, entre CreateSecret y SetSecret, es posible que el problema esté relacionado con la configuración de simultaneidad.

Pasos para la solución de problemas simultáneos

aviso

Si se establece el parámetro de simultaneidad aprovisionado en un valor inferior a 10, se puede producir una limitación debido a la insuficiencia de subprocesos de ejecución para la función de Lambda. Para obtener más información, consulte Comprender la simultaneidad reservada y simultaneidad aprovisionada en la Guía para desarrolladores de AWS Lambda AWS Lambda .

  1. Compruebe y ajuste la configuración de simultaneidad de Lambda:

    • Compruebe que reserved_concurrent_executions no esté demasiado bajo (por ejemplo, 1)

    • Si utiliza la simultaneidad reservada, configúrela en al menos 10

    • Evalúe utilizar la simultaneidad sin reservas para una mayor flexibilidad

  2. En caso de la simultaneidad aprovisionada:

    • No establezca el parámetro de simultaneidad aprovisionado de forma explícita (por ejemplo, en Terraform).

    • Si debe configurarlo, utilice un valor de al menos 10.

    • Pruébelo minuciosamente para asegurarse de que el valor elegido se adapte a su caso de uso.

  3. Supervise y ajuste la simultaneidad:

    • Calcule la simultaneidad mediante esta fórmula: simultaneidad = (promedio de solicitudes por segundo) * (duración promedio de las solicitudes en segundos). Para obtener más información, consulte Estimación de la simultaneidad reservada.

    • Observe y registre los valores durante las rotaciones para determinar la configuración de simultaneidad adecuada.

    • Tenga cuidado al establecer valores de simultaneidad bajos. Pueden provocar una limitación si no hay suficientes subprocesos de ejecución disponibles.

Para obtener más información sobre la configuración de la simultaneidad Lambda, consulte Configuración de la simultaneidad reservada y Configuración de la simultaneidad aprovisionada en la Guía para desarrolladores. AWS Lambda