IAMアクセスキーが登録されたSecrets ManagerのシークレットをローテートするLambdaなんだけど
良さそうなんだけど、なんかいくつか微妙な問題を抱えており
- このLambdaを回すのに別のIAMシークレット(iam:CreateAccessKey iam:DeleteAccessKeyの権限をもってる)が必要(なぜだ)
- とりあえずこれ自体はmasterarnを使わないでLambdadにIAMの権限を持たせればいい
- 処理は古いアクセスキー削除→アクセスキー作成→Secrets Mangager更新の順にやっているけどSecrets Mangager更新にだけ失敗しても別にロールバックとかされないしそこらへんに例外処理は入ってない
自動でIAMをローテートするには早すぎる気持ちを得られた