Навыки aws-secrets-rotation
🔐

aws-secrets-rotation

Безопасно

Авт��матизация ротации секретов AWS для RDS и API-ключей

Ручная ротация секретов подвержена ошибкам и часто игнорируется. Этот навык предоставляет готовые к продакшену Lambda-функции и команды AWS CLI для автоматизации ротации учётных данных для баз данных и сторонних сервисов.

Поддерживает: Claude Codex Code(CC)
📊 70 Адекватно
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Протестировать

Использование «aws-secrets-rotation». Set up rotation for production RDS credentials

Ожидаемый результат:

Rotation enabled for prod/db/mysql with 30-day schedule. Lambda function arn:aws:lambda:us-east-1:123456789012:function:SecretsManagerRDSMySQLRotation will automatically rotate credentials. First rotation initiated.

Использование «aws-secrets-rotation». Audit all secrets for rotation compliance

Ожидаемый результат:

Compliant Secrets: 12
Non-Compliant Secrets: 3

Non-Compliant Details:
- dev/test/api-key: Rotation not enabled
- staging/db/postgres: Not rotated in 127 days
- legacy/service-token: Never rotated

Аудит безопасности

Безопасно
v1 • 2/24/2026

All 70 static findings are false positives. The skill contains legitimate AWS CLI documentation, Lambda rotation code examples, and compliance tracking scripts. External command patterns are bash examples in markdown code blocks demonstrating AWS API usage. Network references are official AWS and Stripe API endpoints. No malicious patterns detected.

1
Просканировано файлов
466
Проанализировано строк
0
находки
1
Всего аудитов
Проблем безопасности не найдено
Проверено: claude

Оценка качества

38
Архитектура
100
Сопровождаемость
87
Контент
31
Сообщество
100
Безопасность
83
Соответствие спецификации

Что вы можете построить

DevOps-инженер автоматизирует ротацию учётных данных базы данных

Настройка автоматической ротации каждые 30 дней для учётных данных продакшн RDS MySQL с использованием управляемых AWS шаблонов Lambda с мониторингом сбоев ротации через CloudWatch.

Команда безопасности внедряет требования соответствия

Развертывание политик ротации для всех секретов, генерация квартальных отчётов о соответствии с отображением статуса ротации и настройка оповещений о просроченной ротации.

Разработчик выполняет ротацию API-ключей сторонних сервисов

Создание кастомной Lambda-функции для ротации API-ключей Stripe путём вызова их API, валидации новых ключей и автоматического отзыва старых учётных данных.

Попробуйте эти промпты

Базовое создание секрета 
Create an AWS secret for my production MySQL database with username admin, host mydb.cluster-abc.us-east-1.rds.amazonaws.com, port 3306, and database myapp
Включить автоматическую ротацию RDS 
Set up automatic rotation every 30 days for my RDS MySQL secret using the AWS-managed Lambda rotation function
Кастомная ротация API-ключей 
Create a Lambda function that rotates Stripe API keys by calling the Stripe API to generate new keys, test them, and revoke old ones
Отчёт аудита соответствия 
Generate a compliance report listing all secrets without rotation enabled and those not rotated in over 90 days

Лучшие практики

  • Тестируйте ротацию в непродакшн окружениях перед развертыванием в продакшн
  • Настраивайте сигналы CloudWatch для оповещения о сбоях ротации в течение 5 минут
  • Поддерживайте runbooks с документацией процедур экстренной ротации для скомпрометированных учётных данных

Избегать

  • Хардкод секретов в коде приложения вместо получения из Secrets Manager
  • Установка интервалов ротации более 90 дней для чувствительных учётных данных
  • Ротация секретов без предварительного тестирования совместимости приложения

Часто задаваемые вопросы

Какие разрешения AWS требуются для использования этого навыка?
Вам необходимы разрешения secretsmanager:CreateSecret, secretsmanager:GetSecretValue, secretsmanager:RotateSecret, secretsmanager:UpdateSecretVersionStage, lambda:InvokeFunction и cloudwatch:PutMetricAlarm.
Можно ли ротировать секреты для баз данных не от AWS?
Да, вы можете создавать кастомные Lambda-функции для любой базы данных или сервиса, поддерживающего программную ротацию учётных данных через API.
Что происходит при сбое ротации?
Секрет остаётся неизменным с предыдущими учётными данными. Сигналы CloudWatch могут уведомить вас о сбоях. Ожидающая версия не промоутируется в текущую.
Как выполнить ротацию секрета немедленно после взлома?
Используйте команду rotate-secret с флагом --rotate-immediately для принудительной ротации независимо от запланированного интервала.
Могут ли приложения обращаться к старым и новым учётным данным во время ротации?
Да, AWS Secrets Manager поддерживает несколько этапов версий (AWSPENDING, AWSCURRENT, AWSPREVIOUS), позволяя постепенную смену учётных данных.
Есть ли стоимость использования автоматической ротации?
Да, вы платите за вызовы Lambda (примерно ежемесячно за секрет) плюс вызовы API Secrets Manager. Стоимость ротации Lambda составляет около $0.20-0.50 за секрет в месяц.

Сведения для разработчиков

Автор

sickn33

Лицензия

MIT

Репозиторий

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/security/aws-secrets-rotation

Ссылка

main

Структура файлов

📄 SKILL.md