amazon-web-services - AWS secret 管理器， 'A previous rotation isn’ t complete' 轮换 secret 时

Question

我创建了一个 secret 并将其更新为具有 lambda 轮换功能

我的 secret 看起来像

aws secretsmanager list-secret-version-ids --secret-id envir/username
{
    "Versions": [
        {
            "VersionId": "90179cd3-daa1-48e4-9fe5-dde0a4cf22e4",
            "VersionStages": [
                "AWSPREVIOUS"
            ],
            "LastAccessedDate": 1524528000.0,
            "CreatedDate": 1524568488.358
        },
        {
            "VersionId": "60576823-5d98-4360-af53-7e1f909b88d0",
            "VersionStages": [
                "AWSCURRENT"
            ],
            "LastAccessedDate": 1524528000.0,
            "CreatedDate": 1524568827.466
        }
    ],
    "ARN": "arn:aws:secretsmanager:eu-west-1:8282828282828:secret:username-YdgbPA",
    "Name": "envir/username"
}

当我尝试旋转它时，我收到此错误

An error occurred (InvalidRequestException) when calling the RotateSecret operation: A previous rotation isn’t complete. That rotation will be reattempted.

如果我触发 lambda 函数没有问题，我可以毫无问题地轮换 secret 。

任何人有任何想法？

相关链接:

https://forums.aws.amazon.com/thread.jspa?threadID=280093&tstart=0 这不适用于我，因为我没有 AWSPENDING 状态的 secret 。

Answer 1

只是给将来可能会遇到同样错误的人一个注释......

如果您是 使用 AWS Secrets Manager 轮换 Amazon RDS 密码 ，Secrets Manager 将自动创建一个 Lambda 函数。此功能需要:

访问互联网 (调用 Secrets Manager)或 VPC 端点 用于与 lambda 函数关联的子网/子网中的 Secrets Manager 服务

访问 RDS实例 (登录和修改密码)

因此，以下组合有效:

具有未附加到 VPC 的 Lambda 函数的可公开访问的数据库(不利于安全)，或

私有(private)子网中的 Lambda 函数和公有子网中的 NAT 网关(因此 Lambda 函数可以访问 Internet)或附加到 Lambda 函数的 ENI

的弹性 IP 地址

另外， 附加到数据库的安全组 需要允许来自 Lambda 函数的入站访问。默认情况下，为 Lambda 函数分配与数据库使用的安全组相同的安全组，因此:

编辑数据库安全组以允许来自自身的入站连接(即，从 Lambda 通过同一安全组到数据库)，或

将 Lambda 函数使用的安全组更改为当前允许访问数据库安全组的安全组