我有一个
flaskECSEC2 instance typeRDSSecrets ManagerSecrets Manager由于成本原因,我不想每次需要提出请求时都轮询
Secrets ManagerSecrets Manager我的想法是使用缓存机制和后台任务,以固定的时间间隔轮询
Secrets ManagerSecrets ManagerSecrets Manager我的另一个想法是在
Secrets ManagerflaskECSSecrets Manager使用 CloudWatch 事件在 Secrets Manager 中轮换凭证时触发凭证更新似乎是您的情况的解决方案。
您可以创建一个 Lambda 函数来侦听 Secrets Manager 轮换事件,然后更新 Flask 应用程序中的缓存凭证。例如,您可以使用 Redis 缓存应用程序的凭据。
您的 Lambda 中将包含以下内容:
import boto3
import redis
import json
def lambda_handler(event, context):
secret_arn = event['detail']['SecretId']
if 'previousSecretVersionId' in event['detail']:
previous_secret_version_id = event['detail']['previousSecretVersionId']
else:
previous_secret_version_id = None
if 'versionId' in event['detail']:
current_secret_version_id = event['detail']['versionId']
else:
current_secret_version_id = None
if previous_secret_version_id and current_secret_version_id:
client = boto3.client('secretsmanager')
response = client.get_secret_value(SecretId=secret_arn, VersionId=current_secret_version_id)
secrets = json.loads(response['SecretString'])
# Update the cached credentials here
redis_client = redis.Redis(host='<redis_endpoint>', port=6379, db=0, password='<redis_password>')
redis_client.set('DB_USERNAME', secrets['username'])
redis_client.set('DB_PASSWORD', secrets['password'])
else:
print('Rotation event is missing `previousSecretVersionId` or current `versionId` ID.')
更新: 您不应创建 Lambda 来侦听凭证轮换,而应创建一个根据特定计划处理轮换的 Lambda。在 Flask 应用程序中,您应该从 AWS
SecretCacheimport botocore
import botocore.session
from aws_secretsmanager_caching import SecretCache, SecretCacheConfig
client = botocore.session.get_session().create_client('secretsmanager')
cache_config = SecretCacheConfig()
cache = SecretCache(config = cache_config, client = client)
secret = cache.get_secret_string('mysecret')
旋转 Lambda 将执行以下操作:
这里用于更新 RDS PostgreSQL 用户凭证的 Lambda 函数模板。
参考资料: