Manuelles Einrichten der Datenbankauthentifizierung und des Ressourcenzugriffs - Amazon Aurora
Erstellen des KMS-SchlüsselsErstellen der Datenbank-SecretsErstellen der IAM-RolleAktualisieren des KMS-SchlüsselsHinzufügen der Berechtigungsrichtlinien für die IAM-Rolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Manuelles Einrichten der Datenbankauthentifizierung und des Ressourcenzugriffs

Das manuelle Verfahren zum Einrichten der Datenbankauthentifizierung und des Ressourcenzugriffs umfasst die folgenden Schritte:

  1. Erstellung des vom Kunden verwalteten AWS KMS key

  2. Hinzufügen der Berechtigungsrichtlinien für die IAM-Rolle

  3. Erstellen der Datenbank-Secrets

  4. Erstellen der IAM-Rolle

  5. Aktualisierung der vom Kunden verwalteten AWS KMS key

Dieser Vorgang ist optional und umfasst dieselben Aufgaben wie in Einrichten der Datenbankauthentifizierung und des Ressourcenzugriffs mithilfe eines Skripts. Wir empfehlen die Verwendung des Skripts.

Erstellung des vom Kunden verwalteten AWS KMS key

Folgen Sie den Verfahren unter Erstellen symmetrischer Verschlüsselungsschlüssel, um einen kundenverwalteten KMS-Schlüssel zu erstellen. Sie können auch einen vorhandenen Schlüssel verwenden, wenn er diese Anforderungen erfüllt.

So erstellen Sie einen kundenverwalteten KMS-Schlüssel

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com/kms.

  2. Navigieren Sie zur Seite Kundenverwaltete Schlüssel.

  3. Klicken Sie auf Create key.

  4. Gehen Sie auf der Seite Schlüssel konfigurieren wie folgt vor:

    1. Wählen Sie als Schlüsseltyp die Option Symmetrisch aus.

    2. Wählen Sie für Schlüsselnutzung die Option Verschlüsseln und entschlüsseln aus.

    3. Wählen Sie Weiter aus.

  5. Geben Sie auf der Seite Bezeichnungen hinzufügen einen Alias wie limitless ein und wählen Sie dann Weiter aus.

  6. Vergewissern Sie sich, dass auf der Seite Schlüsselverwaltungsberechtigungen definieren das Kontrollkästchen Schlüsseladministratoren das Löschen dieses Schlüssels erlauben aktiviert ist, und wählen Sie dann Weiter aus.

  7. Klicken Sie auf der Seite Schlüsselnutzungsberechtigungen definieren auf Weiter.

  8. Klicken Sie auf der Seite Prüfen auf Beenden.

    Sie aktualisieren die Schlüsselrichtlinie später.

Notieren Sie sich die Amazon-Ressourcennamen (ARN) des KMS-Schlüssels, der in Hinzufügen der Berechtigungsrichtlinien für die IAM-Rolle verwendet werden soll.

Informationen zur Verwendung des AWS CLI zur Erstellung des vom Kunden verwalteten KMS-Schlüssels finden Sie unter create-key und create-alias.

Erstellen der Datenbank-Secrets

Damit das Datenladeprogramm auf die Quell- und Zieldatenbanktabellen zugreifen kann, erstellen Sie zwei geheime Daten in AWS Secrets Manager: einen für die Quelldatenbank und einen für die Zieldatenbank. In diesen Secrets werden die Benutzernamen und Passwörter für den Zugriff auf die Quell- und Zieldatenbanken gespeichert.

Folgen Sie den Verfahren unter AWS Secrets Manager -Secret erstellen, um die Schlüssel- und Wertepaar-Secrets zu erstellen.

So erstellen Sie die Datenbank-Secrets

  1. Öffnen Sie die Secrets Manager Manager-Konsole unter https://console.aws.amazon.com/secretsmanager/.

  2. Wählen Sie Store a new secret (Ein neues Secret speichern).

  3. Gehen Sie auf der Seite Secret-Typ auswählen wie folgt vor:

    1. Wählen Sie für Secret-Typ die Option Anderer Secret-Typ aus.

    2. Wählen Sie für Schlüssel/Wert-Paare die Registerkarte Klartext aus.

    3. Geben Sie den folgenden JSON-Code ein, wobei sourcedbreader und sourcedbpassword die Anmeldeinformationen des Benutzers der Quelldatenbank aus Erstellen Sie die Quelldatenbank-Anmeldeinformationen sind.

      {
    "username":"sourcedbreader",
    "password":"sourcedbpassword"
}

    4. Wählen Sie für Verschlüsselungsschlüssel beispielsweise den KMS-Schlüssel aus, den Sie in Erstellung des vom Kunden verwalteten AWS KMS key erstellt haben, z. B. limitless.

    5. Wählen Sie Weiter aus.

  4. Geben Sie auf der Seite Secret konfigurieren einen Secret-Namen ein, wie z. B. source_DB_secret, und wählen Sie dann Weiter aus.

  5. Wählen Sie auf der Seite Drehung konfigurieren – optional die Option Weiter aus.

  6. Wählen Sie auf der Seite Review (Überprüfung) Store (Speichern) aus.

  7. Wiederholen Sie dieses Verfahren für das Secret der Zieldatenbank:

    1. Geben Sie den folgenden JSON-Code ein, wobei destinationdbwriter und destinationdbpassword die Anmeldeinformationen des Benutzers der Zieldatenbank aus Erstellen Sie die Anmeldeinformationen für die Zieldatenbank sind.

      {
    "username":"destinationdbwriter",
    "password":"destinationdbpassword"
}

    2. Geben Sie einen Secret-Namen ein, z. B. destination_DB_secret.

Notieren Sie sich ARNs die Geheimnisse, in denen Sie verwenden möchtenHinzufügen der Berechtigungsrichtlinien für die IAM-Rolle.

Erstellen der IAM-Rolle

Für das Laden von Daten müssen Sie Zugriff auf AWS Ressourcen gewähren. Um Zugriff zu gewähren, erstellen Sie die IAM-Rolle aurora-data-loader, indem Sie die Schritte unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer ausführen.

So erstellen Sie die IAM-Rolle

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Navigieren Sie zur Seite Rollen.

  3. Wählen Sie Rolle erstellen aus.

  4. Gehen Sie auf der Seite Vertrauenswürdige Entität auswählen wie folgt vor:

    1. Wählen Sie für Vertrauenstyp der Entität die Option Benutzerdefinierte Vertrauensrichtlinie aus.

    2. Geben Sie für die benutzerdefinierte Vertrauensrichtlinie den folgenden JSON-Code ein:

      JSON
      {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "rds.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    3. Wählen Sie Weiter aus.

  5. Wählen Sie auf der Seite Add permissions (Berechtigungen hinzufügen) die Option Next (Weiter) aus.

  6. Gehen Sie auf der Seite Benennen, prüfen und erstellen wie folgt vor:

    1. Geben Sie für Rollenname aurora-data-loader oder einen von Ihnen bevorzugten Namen ein.

    2. Wählen Sie Tag hinzufügen aus und geben Sie das folgende Tag ein:

      • Schlüssel: assumer

      • Value (Wert): aurora_limitless_table_data_load

      Wichtig

      Aurora PostgreSQL Limitless Database kann nur eine IAM-Rolle annehmen, die über dieses Tag verfügt.

    3. Wählen Sie Rolle erstellen aus.

Aktualisierung der vom Kunden verwalteten AWS KMS key

Folgen Sie den Verfahren unter Ändern einer Schlüsselrichtlinie, um die IAM-Rolle aurora-data-loader zur Standard-Schlüsselrichtlinie hinzuzufügen.

So fügen Sie die IAM-Rolle zur Schlüsselrichtlinie hinzu

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die AWS KMS Konsole unter https://console.aws.amazon.com/kms.

  2. Navigieren Sie zur Seite Kundenverwaltete Schlüssel.

  3. Wählen Sie den KMS-Schlüssel aus, den Sie in Erstellung des vom Kunden verwalteten AWS KMS key erstellt haben, z. B. limitless.

  4. Wählen Sie auf der Registerkarte Schlüsselrichtlinie für Schlüsselbenutzer die Option Hinzufügen aus.

  5. Wählen Sie im Fenster „Schlüsselbenutzer hinzufügen“ beispielsweise den Namen der IAM-Rolle ausErstellen der IAM-Rolle, in der Sie sie erstellt haben. aurora-data-loader

  6. Wählen Sie Hinzufügen aus.

Hinzufügen der Berechtigungsrichtlinien für die IAM-Rolle

Sie müssen der erstellten IAM-Rolle Berechtigungen hinzufügen. Auf diese Weise kann das Dienstprogramm zum Laden von Daten von Aurora PostgreSQL Limitless Database auf verwandte AWS -Ressourcen zugreifen, um Netzwerkverbindungen aufzubauen und die Secrets der Anmeldeinformationen der Quell- und Ziel-DB abzurufen.

Weitere Informationen finden Sie unter Ändern einer Rolle.

So fügen Sie Berechtigungsrichtlinien hinzu

  1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/

  2. Navigieren Sie zur Seite Rollen.

  3. Wählen Sie beispielsweise die IAM-Rolle ausErstellen der IAM-Rolle, in der Sie erstellt haben. aurora-data-loader

  4. Wählen Sie auf der Registerkarte Berechtigungen für Berechtigungsrichtlinien die Option Berechtigungen hinzufügen und dann Inline-Richtlinie erstellen aus.

  5. Wählen Sie auf der Seite Berechtigungen angeben den JSON-Editor aus.

  6. Kopieren Sie die folgende Vorlage und fügen Sie sie in den JSON-Editor ein. Ersetzen Sie dabei die Platzhalter durch die ARNs für Ihre Datenbankgeheimnisse und den KMS-Schlüssel.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Ec2Permission",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkAcls"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:123456789012:secret:source_DB_secret-ABC123",
                "arn:aws:secretsmanager:us-east-1:123456789012:secret:destination_DB_secret-456DEF"
            ]
        },        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/aa11bb22-####-####-####-fedcba123456"
        },
        {
            "Sid": "RdsPermissions",
            "Effect": "Allow",
            "Action": [
                "rds:DescribeDBClusters",
                "rds:DescribeDBInstances"
            ],
            "Resource": "*"
        }
    ]
}

  7. Prüfen Sie, ob Fehler vorliegen, und beheben Sie sie.

  8. Wählen Sie Weiter aus.

  9. Geben Sie auf der Seite Überprüfen und erstellen einen Richtliniennamen ein wie z. B. data_loading_policy, und wählen Sie anschließend Richtlinie erstellen aus.