据我了解,Secrets Manager可以自动旋转RDS数据库的密码。发生这种情况时,是否存在使用旧密码进行长时间运行的进程的竞争条件?
我找不到描述这种竞争情况的文档,但是我可以想象一个进程在密钥旋转之前运行,并且使用旧密码在重新获取最新密码之前无法访问数据库。这是真的吗?
答案 0 :(得分:2)
根据Rotate Amazon RDS database credentials automatically with AWS Secrets Manager | AWS Security Blog中有关RDS和秘密轮换的评论:
建立连接时,数据库进行身份验证。因此,打开的连接不会受到Secrets Manager执行的轮换的影响。
因此,您连接到RDS的过程应始终为:
我想在1和2之间有一个小窗口,因此出于可靠性考虑,您可能需要使用异常/错误处理程序编写此窗口,以便它可以重新获取秘密并在尝试一次连接时重试连接一次瞬时身份验证失败。