💡
原文中文,约5500字,阅读约需13分钟。
📝
内容提要
AWS Secrets Manager 默认只保留一个历史版本,需手动管理暂存标签。本文介绍通过 Amazon EventBridge 和 AWS Lambda 自动创建和保留密钥历史版本的方案,支持跨区域和跨账号备份,简化操作流程。
🎯
关键要点
- AWS Secrets Manager 默认只保留一个历史版本,需要手动管理暂存标签。
- 通过 Amazon EventBridge 和 AWS Lambda 可以自动创建和保留密钥历史版本,支持跨区域和跨账号备份。
- 方案自动生成 staging label,保留最新的 20 个历史版本,无需人工干预。
- 使用 Amazon EventBridge 捕捉密钥更新事件,触发 Lambda 处理事件并更新 staging label。
- Lambda 函数会自动生成唯一标签,并在达到上限时删除最老版本的标签。
- 在 Lambda 函数中添加必要的 IAM 策略以允许访问 Secrets Manager。
- 通过 Amazon EventBridge 转发事件到目标区域和账号,实现跨区域跨账号备份。
- 利用 AWS Service Catalog 创建和管理 AWS CloudFormation 堆栈集,方便多账户和区域部署。
- 在目标账户创建 S3 桶并上传必要文件,确保桶策略允许访问。
- 通过 CloudFormation 创建新的堆栈,部署 Secrets Manager 备份方案。
- 在 Lambda 函数中配置环境变量以控制备份行为,确保密钥备份到目标区域和账号。
➡️
