Битрикс для разработчиков
ClickHouse не тормозит
Чат экстремального погром...
Qt
symfony
Ansible
Unity Engine: вопрос - от...
Nuxt.js | Vue SSR
nginx_ru
Боты на Telegraf
Data Science Chat
Android Architecture
QA — русскоговорящее сооб...
DBA - русскоговорящее соо...
Tarantool
Unreal Engine
☁️ AWS_RU
Blender_ru: вопрос-ответ.
PostgreSQL + 1C + Linux
MongoDB Russian
Yandex Cloud - Официальны...
Git
DevsHelper
Big Data Science :: AI / ...
pro.kafka
3ds Max
1C
Вокруг да около Zigbee
Android Declarative
freebsd_ru
Atlassian Community - Rus...
Чат про Fusion 360 и 3D
OctoberCMS
ru_gitlab
Godot Engine (Russian)
MySQL
Yii Framework 2
Data Engineers
Чат Tableau
Cinema 4D
Evolution CMS
Odoo talks & fun
Software Design/Architect...
dbGeeks
pro.buildsystems
React: русскоязычное сооб...
opencv_ru
Webpack — русскоговорящее...
Yii Framework 3
QA juniors
RUSCADASEC community: Киб...
ru_hashicorp
catboost_ru
Kaggle
Grafana Loki
VictoriaMetrics_ru
.NET Group
Google Cloud Platform_ru
DevSecOps - русскоговорящ...
ScyllaDB
![Netbeans [RU]](https://image.telq.org/channel_avatar_1102508152_467588515831589735_mini.jpeg){kind=avatar}
Netbeans [RU]
Народ, а подскажите плиз по ротации паролей с помощью secrets
manager, а то я не понимаю одного момента. Например, создали мы пароль для подключения к RDS, приложение его прочитало, и пользуется им. Пришло время ротировать пароль, он поменялся, но приложение-то не передепаивалось, например, и откуда оно узнает, что надо перегетать пароль? Я просто не программист, и этот момент меня смущает. Ведь не брать же пароль из secrets manager при каждом подключении к базе.
5 ответов
если конект падает с ошибкой аутентификации - идешь в secret manager за паролем, но я так никогда не делал, так что могу пороть чушь
проще всего брать при каждом подключении, использовать connection pool + хуки более того, и со стороны базы должна быть поддержка, например в постгре ротация через secrets manager запросто ломает доступ к данным
Vladimir
Deribin
Автор вопроса
проще всего брать при каждом подключении, использо...
Ломаает - даже если мы при создании секрета с ротацией указываем, на какую базу всё это применятся? То есть этого недостаточно и надо что-то ещё в базе делать?
Ломаает - даже если мы при создании секрета с рота...
в общем, в secrets manager есть 2 режима ротации. с одним пользователем - просто меняется пароль на пользователе, если приложение не успело перечитать пароль, оно падает. Тут нужно проверять креды перед каждым коннектом обязательно с двумя пользователями - sm меняет пароль на неактивном пользователе, прописывает его в доступный приложению секрет, но старого не выключает до новой ротации Это бы работало хорошо без поддержки приложения, но в postgres есть такая сущность как владелец таблицы или другого объекта, и при переключении пользователей несоответствие владельца поломает приложению DDL операции. Так что тоже нужно следить
Vladimir
Deribin
Автор вопроса
в общем, в secrets manager есть 2 режима ротации. ...
Спасибо огромное, учту
Похожие вопросы
Обсуждают сегодня