Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Automatische Rotation für Amazon RDS-, Amazon Aurora-, Amazon Redshift- oder Amazon DocumentDB DocumentDB-Geheimnisse einrichten
In diesem Tutorial wird beschrieben, wie Sie Datenbankgeheimnisse einrichten[Rotation durch Lambda-Funktion](rotate-secrets_lambda.md). Rotation ist der Prozess der periodischen Aktualisierung eines Secrets. Wenn Sie ein Secret drehen, werden die Anmeldeinformationen sowohl im Secret als auch in der Datenbank aktualisiert. Im Secrets Manager können Sie die automatische Drehung für Ihre Datenbank-Secrets einrichten.
Um die Rotation über die Konsole einzurichten, müssen Sie zunächst eine Rotationsstrategie auswählen. Dann konfigurieren Sie das Secret für die Drehung, wodurch eine Lambda-Drehungsfunktion erstellt wird, falls Sie noch keine haben. Die Konsole legt auch Berechtigungen für die Ausführungsrolle der Lambda-Funktion fest. Der letzte Schritt besteht darin, sicherzustellen, dass die Lambda-Drehungsfunktion sowohl auf Secrets Manager als auch auf Ihre Datenbank über das Netzwerk zugreifen kann.
**Warnung**
Um die automatische Rotation zu aktivieren, benötigen Sie die Berechtigung, eine IAM-Ausführungsrolle für die Lambda-Rotationsfunktion zu erstellen und ihr eine Berechtigungsrichtlinie anzuhängen. Sie brauchen sowohl `iam:CreateRole` und `iam:AttachRolePolicy`-Berechtigungen. Durch die Gewährung dieser Berechtigungen kann sich eine Identität selbst alle Berechtigungen gewähren.
**Topics**
+ [Schritt 1: Wählen Sie eine Drehungsstrategie und erstellen Sie (optional) ein Superuser-Secret](#rotate-secrets_turn-on-for-db_step1)
+ [Schritt 2: Konfigurieren Sie die Drehung und erstellen Sie eine Drehungsfunktion](#rotate-secrets_turn-on-for-db_step2)
+ [Schritt 3: (Optional) Zusätzliche Berechtigungsbedingungen für die Rotationsfunktion festlegen](#rotate-secrets_turn-on-for-db_step3)
+ [Schritt 4: Konfigurieren Sie den Netzwerkzugriff für die Drehungsfunktion](#rotate-secrets_turn-on-for-db_step4)
+ [Nächste Schritte](#rotate-secrets_turn-on-for-db_stepnext)
## Schritt 1: Wählen Sie eine Drehungsstrategie und erstellen Sie (optional) ein Superuser-Secret
Informationen zu den von Secrets Manager angebotenen Strategien finden Sie unter[Strategien zur Rotation von Lambda-Funktionen](rotation-strategy.md).
Wenn Sie die *Strategie für alternierende Benutzer* wählen, müssen Sie [Erschaffe Geheimnisse](create_secret.md) und Superuser-Anmeldeinformationen der Datenbank darin speichern. Sie benötigen ein Secret mit Superuser-Anmeldeinformationen, da die Drehung den ersten Benutzer klont und die meisten Benutzer nicht über diese Berechtigung verfügen. Beachten Sie, dass Amazon RDS Proxy die Strategie für wechselnde Benutzer nicht unterstützt.
## Schritt 2: Konfigurieren Sie die Drehung und erstellen Sie eine Drehungsfunktion
**Aktivieren Sie die Drehung für ein Secret von Amazon RDS, Amazon DocumentDB oder Amazon Redshift wie folgt:**
1. Öffnen Sie die Secrets Manager Manager-Konsole unter [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Wählen Sie auf der Seite **Secrets** Ihr Secret aus.
1. Klicken Sie auf der Seite mit den **Secret-Details** im Abschnitt **Rotation configuration (Rotationskonfiguration)** auf **Edit rotation (Rotation bearbeiten)**.
1. Führen Sie im Dialogfeld **Edit rotation configuration (Rotationskonfiguration bearbeiten)** die folgenden Schritte aus:
1. Schalten Sie die **automatische Rotation** ein.
1. Geben Sie unter **Rotation schedule** (Drehungszeitplan) Ihren Zeitplan in der UTC-Zeitzone entweder im **Schedule expression builder** (Zeitplanausdruck-Generator) oder als **Schedule expression** (Zeitplanausdruck) ein. Secrets Manager speichert Ihren Zeitplan als `rate()`- oder `cron()`-Ausdruck. Das Rotationsfenster beginnt automatisch um Mitternacht, es sei denn, Sie geben eine **Startzeit**an. Sie können ein Secret bis zu alle vier Stunden rotieren. Weitere Informationen finden Sie unter [Rotationspläne](rotate-secrets_schedule.md).
1. (Optional) Wählen Sie für **Dauer des Fensters** die Länge des Fensters aus, in dem Secrets Manager Ihr Secret rotieren soll, z. B. **3h** für ein Drei-Stunden-Fenster. Das Fenster darf nicht in das nächste Rotationsfenster übergehen. Wenn Sie keine **Fensterdauer** angeben, wird das Fenster für einen Rotationsplan in Stunden automatisch nach einer Stunde geschlossen. Bei einem Rotationsplan in Tagen wird das Fenster am Ende des Tages automatisch geschlossen.
1. (Optional) Wählen Sie **Sofort rotieren, wenn das Secret gespeichert ist**, um Ihr Secret zu rotieren, wenn Sie Ihre Änderungen speichern. Wenn Sie das Kontrollkästchen deaktivieren, beginnt die erste Rotation nach dem von Ihnen festgelegten Zeitplan.
Wenn die Drehung fehlschlägt, z. B. weil die Schritte 3 und 4 noch nicht abgeschlossen sind, wiederholt Secrets Manager den Drehungsvorgang mehrmals.
1. Führen Sie unter **Rotationsfunktion** einen der folgenden Schritte aus:
+ Wählen Sie **Create a new Lambda function** (Neue Lambda-Funktion erstellen) aus und geben Sie einen Namen für Ihre neue Funktion ein. Secrets Manager fügt „`SecretsManager`“ am Anfang des Funktionsnamens hinzu. Secrets Manager erstellt die Funktion basierend auf der entsprechenden [Vorlage](reference_available-rotation-templates.md) und legt die erforderlichen [Berechtigungen](rotating-secrets-required-permissions-function.md) für die Lambda-Ausführungsrolle fest.
+ Wählen Sie **Use an existing Lambda function** (Bestehende Lambda-Funktion verwenden), um eine Drehungsfunktion wiederzuverwenden, die Sie für ein anderes Secret verwendet haben. Die Drehungsfunktionen, die unter **Recommended VPC configurations** (Empfohlene VPC-Konfigurationen) aufgeführt sind, haben dieselbe VPC und Sicherheitsgruppe wie die Datenbank, wodurch die Funktion auf die Datenbank zugreifen kann.
1. Wählen Sie für die **Rotationsstrategie** die Strategie **Einzelbenutzer** oder **Alternierende Benutzer** aus. Weitere Informationen finden Sie unter [Schritt 1: Wählen Sie eine Drehungsstrategie und erstellen Sie (optional) ein Superuser-Secret](#rotate-secrets_turn-on-for-db_step1).
1. Wählen Sie **Save (Speichern)** aus.
## Schritt 3: (Optional) Zusätzliche Berechtigungsbedingungen für die Rotationsfunktion festlegen
Wir empfehlen, in die Ressourcenrichtlinie für Ihre Drehungsfunktion den Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) aufzunehmen, um zu verhindern, dass Lambda als [verwirrter Stellvertreter](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) verwendet wird. Für einige AWS Dienste AWS empfiehlt es sich, sowohl den Bedingungsschlüssel als auch den [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel zu verwenden, um das [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)Szenario „Confused Deputy“ zu vermeiden. Wenn Sie jedoch die `aws:SourceArn`-Bedingung in Ihre Drehungsfunktions-Richtlinie einschließen, kann die Drehungsfunktion nur verwendet werden, um das von diesem ARN angegebene Secret zu rotieren. Es wird empfohlen, nur den Kontextschlüssel `aws:SourceAccount` anzugeben, damit Sie die Drehungsfunktion für mehrere Geheimnisse verwenden können.
**Aktualisieren Sie die Ressourcenrichtlinie Ihrer Drehungsfunktion wie folgt:**
1. Wählen Sie in der Secrets-Manager-Konsole Ihr Secret aus und wählen Sie dann auf der Detailseite unter **Rotation configuration** (Drehungs-Konfiguration) die Lambda-Drehungsfunktion aus. Die Lambda-Konsole wird geöffnet.
1. Folgen Sie den Anweisungen unter [Verwenden von ressourcenbasierten Richtlinien für Lambda](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html), um eine `aws:sourceAccount`-Bedingung hinzuzufügen.
```
"Condition": {
"StringEquals": {
"AWS:SourceAccount": "123456789012"
}
},
```
Wenn das Secret mit einem anderen KMS-Schlüssel als Von AWS verwalteter Schlüssel `aws/secretsmanager` verschlüsselt ist, gewährt Secrets Manager der Lambda-Ausführungsrolle die Berechtigung, den Schlüssel zu verwenden. Sie können den [SecretARN-Verschlüsselungskontext](security-encryption.md#security-encryption-encryption-context) verwenden, um die Verwendung der Entschlüsselungsfunktion einzuschränken, sodass die Rolle der Rotationsfunktion nur Zugriff auf das Secret hat, für dessen Rotation diese verantwortlich ist.
**So aktualisieren Sie Ihre Ausführungsrolle Ihrer Rotationsfunktion**
1. Wählen Sie in der Lambda-Rotationsfunktion die Option **Konfiguration** und dann unter **Ausführungsrolle** den **Rollennamen** aus.
1. Folgen Sie den Anweisungen unter [Ändern einer Richtlinie für Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy), um eine `kms:EncryptionContext:SecretARN`-Bedingung hinzuzufügen.
```
"Condition": {
"StringEquals": {
"kms:EncryptionContext:SecretARN": "SecretARN"
}
},
```
## Schritt 4: Konfigurieren Sie den Netzwerkzugriff für die Drehungsfunktion
Weitere Informationen finden Sie unter [Netzwerkzugriff für die AWS Lambda Rotationsfunktion](rotation-function-network-access.md).
## Nächste Schritte
Siehe [Fehlerbehebung bei der AWS Secrets Manager Rotation](troubleshoot_rotation.md).