1

我正在使用参数存储来存储数据库凭据,并使用 talend 作业访问它们。但是,由于多个作业同时访问这些参数;我们正面临扩展参数存储的问题,因为它达到了阈值。

我决定使用 AWS Secrets Manager,到目前为止,我能够使用 AWS Lambda 函数 (Python) 成功创建/获取这些密钥;我正在使用 Python 客户端缓存库SecretCacheSecretCacheConfig.

对此有以下疑问:

  1. 是否有可能知道我的 lambda 函数缓存这些秘密的位置?
  2. 如果在我的 talend 作业执行时密码发生更改,如何确保 talend 作业使用更新后的密码值?
  3. 如何确保正在使用机密的最新值。
4

1 回答 1

2

SecretCache 实现是仅内存中的缓存,因此您将无法在任何地方找到磁盘上的缓存。

问题 ii) 和 iii) 有点相关,取决于如何使用秘密。为了拥有高度可用的轮换策略,您必须能够拥有两个活动的秘密或用户并在它们之间交替。通过确保缓存以超过两倍的旋转速率刷新,缓存将在当前密码被覆盖之前切换到最新的用户密码。

例如,如果您使用的是数据库,您可以设置多用户轮换并每天轮换一次。由于默认缓存刷新率 ( secret_refresh_interval ) 为 1 小时,因此缓存将在下一次轮换之前获取最新版本的密钥。

于 2019-11-13T22:02:02.687 回答