¿Cómo puedo rotar un secreto de Secrets Manager en una VPC privada?

Descripción breve

Secrets Manager no puede rotar los secretos de los servicios de AWS que se ejecutan en subredes privadas de Amazon VPC porque estas subredes no tienen acceso a Internet.

Resolución

Importante: Antes de empezar, asegúrate de haber instalado y configurado la Interfaz de la línea de comandos de AWS (AWS CLI).

Nota: Si se muestran errores al poner en marcha comandos de AWS CLI, consulta Solución de errores de AWS CLI. Además, asegúrate de utilizar la versión más reciente de la AWS CLI.

Sigue estas instrucciones para configurar un punto de enlace de la interfaz de Amazon VPC para acceder a la función de Lambda de Secrets Manager y a la instancia privada de Amazon Relational Database Service (Amazon RDS). En el siguiente ejemplo, se utiliza una instancia privada de Aurora RDS en Amazon VPC denominada vpc-0abb11f5a28a8abe7.

Creación de grupos de seguridad para el punto de enlace de VPC de Secrets Manager, la instancia de RDS y la función de rotación de Lambda

Sigue estas instrucciones para crear grupos de seguridad (SG) mediante la AWS CLI.

1. Grupo de seguridad para el punto de enlace de Amazon VPC de Secrets Manager:

Nota: Sustituye vpc-id vpc-0abb11f5a28a8abe7 por tu ID de VPC.

$ aws ec2 create-security-group --vpc-id vpc-0abb11f5a28a8abe7 --group-name SMVPCEndpointSG --description "secretsmanager VPCEndpoint SG"
{
    "GroupId": "sg-vpc-endpoint"
}

2. Grupo de seguridad para la función de rotación de Lambda:

$ aws ec2 create-security-group --vpc-id vpc-0abb11f5a28a8abe7 --group-name LambdaFunctionSG --description "Lambda Rotation Function SG"
{
    "GroupId": "sg-lambda-function"
}

3. (Opcional) Crea un grupo de seguridad para la instancia de RDS:

Nota: Este paso es obligatorio si la instancia de RDS solo usa el grupo de seguridad predeterminado.

$ aws ec2 create-security-group --vpc-id vpc-0abb11f5a28a8abe7 --group-name RDSInstanceSG --description "RDS Instance SG"
{
    "GroupId": "sg-rds-instance"
}

Adición de reglas a los grupos de seguridad del punto de enlace de Amazon VPC y la instancia de RDS

1. Obtén el rango CIDR de la VPC:

$ aws ec2 describe-vpcs --vpc-ids vpc-0a05c93c7ef7a8a1c --query 'Vpcs[].CidrBlock' --output text
10.0.0.0/16

2. Configura las reglas del grupo de seguridad para el punto de enlace de Amazon VPC para permitir el tráfico entrante en el puerto 443 desde tu VPC:

$ aws ec2 authorize-security-group-ingress --group-id sg-vpc-endpoint --protocol tcp --port 443 --cidr 10.0.0.0/16

3. Configura el grupo de seguridad de la instancia de RDS para permitir las conexiones entrantes desde el grupo de seguridad de la función de Lambda:

Nota:

• Sustituye your-rds-security-group por tu grupo de seguridad (ya sea un grupo de seguridad existente o el grupo de seguridad de la instancia de RDS opcional).
• Sustituye your-db-port por el puerto para el que se ha configurado la base de datos.

$ aws ec2 authorize-security-group-ingress --group-id your-rds-security-group --protocol tcp --port your-db-port --source-group sg-lambda-function

Asociación de grupos de seguridad a recursos de AWS

1. Si has creado el grupo de seguridad de la instancia de RDS opcional, modifica la configuración de la instancia de RDS:

Nota: Sustituye your-existing-rds-security-groups por el grupo o los grupos adjuntos a la instancia de RDS.

$ aws rds modify-db-instance --db-instance-identifier your-rds-instance --vpc-security-group-ids sg-rds-instance your-existing-rds-security-groups

2. Sigue las instrucciones para actualizar la configuración de la función de Lambda:

$ aws lambda update-function-configuration --function-name your-lambda-function \
--vpc-config SubnetIds=subnet-076c28105d486f3bd,subnet-0af00c796ccdc725f,SecurityGroupIds=sg-lambda-function

Creación de un punto final de interfaz de Amazon VPC para el servicio de Secrets Manager y asociación a un grupo de seguridad

Sigue las instrucciones para crear un punto de enlace de interfaz:

Nota: Sustituya your-region por tu región de AWS y los ID de subred utilizados para tu instancia de RDS.

$ aws ec2 create-vpc-endpoint --vpc-id vpc-0abb11f5a28a8abe7 --vpc-endpoint-type Interface \
--service-name com.amazonaws.your-region.secretsmanager --subnet-ids subnet-076c28105d486f3bd subnet-0af00c796ccdc725f \
--security-group-ids sg-vpc-endpoint

Importante: Tu Amazon VPC debe tener activados los nombres de host y los atributos de resolución de DNS. Para obtener más información, consulta Ver y actualizar la compatibilidad de DNS para tu VPC.

Verificación de que Secrets Manager pueda rotar el secreto

1. Sigue las instrucciones para rotar el secreto de Secrets Manager:

Nota: Sustituye your-secret por el secreto de Secrets Manager.

$ aws secretsmanager rotate-secret --secret-id your-secret

Secrets Manager vuelve a intentar la rotación anterior.

Nota: Como los intentos anteriores de rotar la contraseña no se completaron correctamente, es posible que recibas un resultado similar al siguiente:

An error occurred (InvalidRequestException) when calling the RotateSecret operation: A previous rotation isn't complete. That rotation will be reattempted.

2. Supervisa la función en la consola de AWS Lambda. Si la rotación se realiza correctamente, las secuencias de registro de Amazon CloudWatch contienen una entrada similar a la siguiente:

[INFO] 2019-10-22T07:59:32.627Z 96179023-5b67-4e98-a057-885f68bc69f2 finishSecret: Successfully set AWSCURRENT stage to version 175b5e38-341f-4cd0-8c58-2b1e49769642 for secret arn:aws:secretsmanager:your-region:your-account:secret:your-secret

3. Recupera el secreto de Secrets Manager para confirmar que se haya rotado correctamente:

Nota: Sustituye your-secret-arn por el ARN de tu secreto de Secrets Manager.

aws secretsmanager get-secret-value --secret-id your-secret-arn

Nota: La función de rotación de Secrets Manager se ejecuta de forma asíncrona en segundo plano. La función de rotación puede tardar varios minutos en completarse.