Народ, а подскажите плиз по ротации паролей с помощью secrets

manager, а то я не понимаю одного момента. Например, создали мы пароль для подключения к RDS, приложение его прочитало, и пользуется им. Пришло время ротировать пароль, он поменялся, но приложение-то не передепаивалось, например, и откуда оно узнает, что надо перегетать пароль? Я просто не программист, и этот момент меня смущает. Ведь не брать же пароль из secrets manager при каждом подключении к базе.

5 ответов

14 просмотров

если конект падает с ошибкой аутентификации - идешь в secret manager за паролем, но я так никогда не делал, так что могу пороть чушь

проще всего брать при каждом подключении, использовать connection pool + хуки более того, и со стороны базы должна быть поддержка, например в постгре ротация через secrets manager запросто ломает доступ к данным

Vladimir-Deribin Автор вопроса
Vladimir Kiyko
проще всего брать при каждом подключении, использо...

Ломаает - даже если мы при создании секрета с ротацией указываем, на какую базу всё это применятся? То есть этого недостаточно и надо что-то ещё в базе делать?

Vladimir Deribin
Ломаает - даже если мы при создании секрета с рота...

в общем, в secrets manager есть 2 режима ротации. с одним пользователем - просто меняется пароль на пользователе, если приложение не успело перечитать пароль, оно падает. Тут нужно проверять креды перед каждым коннектом обязательно с двумя пользователями - sm меняет пароль на неактивном пользователе, прописывает его в доступный приложению секрет, но старого не выключает до новой ротации Это бы работало хорошо без поддержки приложения, но в postgres есть такая сущность как владелец таблицы или другого объекта, и при переключении пользователей несоответствие владельца поломает приложению DDL операции. Так что тоже нужно следить

Vladimir-Deribin Автор вопроса

Похожие вопросы

Обсуждают сегодня

Добрый вечер, Пока не совсем понимаю как наладить общение между телеграм ботом и ПО для работы с сим боксом. По самому боту так понял: - Нужен некий баланс, который можно поп...
Magic
6
сделал сайт, прикрутил в боте сайт, и виджет логина. как автоматически логинить пользователя в аккаунт(телеграм), при входе с бота?
Александра Чернивецкая
5
Объясните, пожалуйста, почему компилятор ругается на использование в условии неинициализированной переменной: int x; Task.Run(async () => { x = await somefunc(); }).Wait...
Александр
5
Ребят, подскажите, пожалуйста, почему в префиксе к ассетам, которые генерируются через фильтр | theme в шаблоне, стал вдруг появляться index.php? Вот так выглядит ссылка на а...
Виталий
1
Всем привет. Ребята, подскажите, пожалуйста. у ботов есть ограничение на отправку сообщений - 30 сообщений в секунду, эти ограничения накладываются на все сообщения? или на со...
Artem Stormageddon
4
1. https://www.kaggle.com/code/ahmadrezagholami2001/housing-estimation-linear-regression 2. https://www.kaggle.com/code/ahmadrezagholami2001/uncovering-quality-in-wines-logis...
Ahmadreza
1
Блин, ребята, сори за тупые вопросы. А можно ли как-то открыть вебапку по нажатию на кнопку в меню(которое появляется слева, команды)?
Artem Stormageddon
3
а плаксы из-под питона умеют только в комфортных условиях что-то выдавить из себя?)
Lencore
9
Но, может, есть уже проверенная? Наши требования такие: 1. Сообщения должны приходить из Инста в CRM оду 2. Должна быть возможность подключить несколько экаунтов Инстаграм. Р...
Alexander Sharoiko MSE / Александр Шаройко
13
Это может быть все-таки не флудвейт? у меня ботфазер принимает изменения и отображает даже что они изменились, на видео видно что он прислал якобы уже измененное описание, н...
OVERLINK
13
Карта сайта