SSL 接続を必要とする DB ユーザー用の AWS Secrets Manager のシークレットをローテーションするにはどうすればよいですか?

最終更新日: 2019 年 7 月 1 日

AWS Secrets Manager のローテーション機能が、SSL を使用して Amazon Relational Database Service (Amazon RDS) インスタンスに接続することができません。以下のようなエラーが表示されます。

「: setSecret: Unable to log into database with previous, current, or pending secret of secret」

解決方法

DB ユーザーの Lambda ローテーション関数を変更して、SSL 接続を必要とする DB ユーザーのシークレットをローテーションします。この例では、Amazon RDS MySQL DB シングルユーザーインスタンスを使用して RDS MySQL シングルユーザーテンプレートを変更します。RDS MySQL 以外の RDS データベースを使用する場合は、Lambda ローテーション関数の作成に使用できる AWS テンプレートを参照してください。

シークレットを作成して、自動ローテーションを有効にする

1.    Secrets Manager コンソールを開いて、[Store a new secret] を選択します。

注意: 必ず Amazon RDS MySQL データベースと同じリージョンにサインインしていることを確認してください。

2.    [Select secret type] で、[Credentials for RDS database] を選択します。

3.    DB ユーザーと同じユーザー名パスワードを入力します。

4    [Select which RDS database this secret will access] で、Amazon RDS MySQL データベースを選択してから、[Next] を選択します。

5.    シークレット名説明を入力してから、[Next] を選択します。

6.    [Configure automatic rotation] で、[Enable automatic rotation] を選択します。

7.    [New AWS Lambda function name] で名前を入力し、[Next] を選択してから、[Store] を選択します。

SSL 接続でデータベースに接続するように Lambda ローテーション関数をカスタマイズする

1.    AWS Lambda コンソールを開いて、[Functions] を選択します。

2.    [Function name] で、RDS MySQL 関数を選択します。

3.    [ARN] の横にあるページの上部で、[copy] アイコンを選択します。

4.    [Using SSL to Encrypt a Connection to a DB Instance] で、rds-combined-ca-bundle.pem 証明書バンドルをダウンロードします。

注意: ファイル名は rds-combined-ca-bundle.pem のままにし、ファイルをディレクトリに配置しないでください。

5.    rds-combined-ca-bundle.pem ファイルを Lambda に追加します。手順については、AWS Lambda コンソールエディタを使用した関数の作成を参照してください。

6.    lambda_function.py で、「pymysql.connect」を含むコード行を以下のように変更します。

conn = pymysql.connect(secret_dict['host'], user=secret_dict['username'], passwd=secret_dict['password'], port=port, db=dbname, connect_timeout=5, ssl={'ca': './rds-combined-ca-bundle.pem'})

7.    [Save] を選択します。

手動でシークレットをローテーションする

1.    以下のコマンドを実行して、シークレットのバージョン ID を一覧します。

注意: EXAMPLESECRETNAME をシークレットの変数に置き換えます。

aws secretsmanager list-secret-version-ids --secret-id EXAMPLESECRETNAME

2.    出力で、VersionStages の値が AWSPENDING であるバージョン ID を見つけます。次に、以下のコマンドを実行してステージングラベルを削除します。

aws secretsmanager update-secret-version-stage --secret-id EXAMPLESECRETNAME --remove-from-version-id EXAMPLEVERSIONID --version-stage AWSPENDING

3.    Secrets Manager コンソールを開いてから、シークレットを選択します。

4.    [Rotation Configuration] で、[Rotate secret immediately] を選択してから、[Rotate] を選択します。

DB ユーザーのデータベースへの接続を確認する

初期シークレットの検証の手順 1〜5 に従って、MySQL クライアントをインストールし、シークレットを一時的に取得します。

注意: 手順 3 を以下のコマンドで置き換えます。

mysql -h $endpoint --ssl-ca=EXAMPLEPATH/rds-combined-ca-bundle.pem --ssl-verify-server-cert -u $user -P $port -p$password

チュートリアル: AWS データベースのシークレットのローテーション

Secrets Manager によって提供される Lambda ローテーション関数のカスタマイズ

サポートされていないデータベースに対して AWS Secrets Manager のシークレットを使用してローテーション関数を作成するにはどうすればよいですか?

Lambda ローテーション関数の作成で使用できる AWS テンプレート

この記事は役に立ちましたか?

はい
いいえ

改善できることはありますか?

ご意見をお聞かせください

さらにサポートが必要な場合

AWS サポートにお問い合わせください