Насколько я понимаю, Secrets Manager может автоматически менять пароль для базы данных RDS. Когда это происходит, возникает ли состояние гонки для длительных процессов, использующих старый секрет?
Я не могу найти документацию, описывающую это состояние гонки, но я могу предположить, что процесс, запущенный прямо перед ротацией ключей и использующий старый секрет, не сможет попасть в базу данных, пока он не выберет новейший секрет. Это правда?
Согласно комментариям в Автоматически меняйте учетные данные базы данных Amazon RDS с помощью AWS Secrets Manager | Блог AWS Security, посвященный ротации RDS и секретов:
Базы данных аутентифицируются при установлении соединения. В результате ротация, выполняемая Secrets Manager, не влияет на открытые соединения.
Таким образом, ваш процесс подключения к RDS всегда должен быть таким:
Я предполагаю, что между 1 и 2 есть крошечное окно, поэтому для надежности вы можете написать это с обработчиком исключений/ошибок, чтобы он мог повторно извлекать секреты и повторять попытку соединения один раз, если вы видите временную ошибку аутентификации. .
