Voraussetzungen Eine IAM-Richtlinie für den Secrets Manager Manager-Zugriff erstellen

Konfiguration der IAM-Authentifizierung für RDS Proxy

Um die AWS Identity and Access Management (IAM-) Authentifizierung für RDS Proxy in Amazon RDS einzurichten, erstellen und konfigurieren Sie eine IAM-Richtlinie, die die erforderlichen Berechtigungen gewährt. RDS Proxy dient AWS Secrets Manager der sicheren Verwaltung von Datenbankanmeldedaten, sodass Anwendungen sich über den Proxy authentifizieren können, ohne die Anmeldeinformationen direkt verarbeiten zu müssen.

In diesem Thema werden die Schritte zur Konfiguration der IAM-Authentifizierung für den RDS-Proxy beschrieben, einschließlich der Erstellung der erforderlichen IAM-Richtlinie und deren Anfügung an eine IAM-Rolle.

Tipp

Dieses Verfahren ist nur erforderlich, wenn Sie Ihre eigene IAM-Rolle erstellen möchten. Andernfalls kann RDS die erforderliche Rolle automatisch erstellen, wenn Sie den Proxy einrichten, sodass Sie diese Schritte überspringen können.

Voraussetzungen

Bevor Sie die IAM-Authentifizierung für den RDS-Proxy einrichten, stellen Sie sicher, dass Sie über Folgendes verfügen:

AWS Secrets Manager— Mindestens ein gespeichertes Geheimnis, das Datenbankanmeldedaten enthält. Anweisungen zum Erstellen von Geheimnissen finden Sie unterDatenbankanmeldedaten AWS Secrets Manager für RDS Proxy einrichten.
IAM-Berechtigungen — Eine IAM-Rolle oder ein IAM-Benutzer mit Berechtigungen zum Erstellen und Verwalten von IAM-Richtlinien, -Rollen und -Geheimnissen. AWS Secrets Manager

Eine IAM-Richtlinie für den Secrets Manager Manager-Zugriff erstellen

Damit RDS Proxy Datenbankanmeldedaten von Secrets Manager abrufen kann, erstellen Sie eine IAM-Rolle mit einer Richtlinie, die die erforderlichen Berechtigungen gewährt.

Um eine Rolle für den Zugriff auf Ihre Geheimnisse zur Verwendung mit Ihrem Proxy zu erstellen

Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

Erstellen Sie eine Berechtigungsrichtlinie für die Rolle. Allgemeine Schritte finden Sie unter IAM-Richtlinien erstellen (Konsole).

Fügen Sie diese Richtlinie in den JSON-Editor ein und nehmen Sie die folgenden Änderungen vor:

Ersetzen Sie die Vorgabe durch Ihre eigene Konto-ID.
us-east-2Ersetzen Sie es durch die Region, in der sich der Proxy befinden wird.
Ersetzen Sie die geheimen Namen durch die Namen, die Sie erstellt haben. Weitere Informationen finden Sie unter Angabe von KMS-Schlüsseln in IAM-Richtlinienanweisungen.
Ersetzen Sie die KMS-Schlüssel-ID durch die, mit der Sie die Secrets Manager Manager-Geheimnisse verschlüsselt haben, entweder den Standardschlüssel oder Ihren eigenen Schlüssel.

Erstellen Sie die Rolle und fügen Sie ihr die Berechtigungsrichtlinie hinzu. Allgemeine Schritte finden Sie unter Eine Rolle erstellen, um Berechtigungen an einen AWS Dienst zu delegieren.

Wählen Sie für den Entitätstyp Vertrauenswürdig die Option AWS Service aus. Wählen Sie unter Anwendungsfall die Option RDS aus und wählen Sie für den Anwendungsfall RDS — Rolle zur Datenbank hinzufügen aus.
Wählen Sie für Berechtigungsrichtlinien die Richtlinie aus, die Sie erstellt haben.

Geben Sie unter Vertrauenswürdige Entitäten auswählen die folgende Vertrauensrichtlinie für die Rolle ein:

Um die Rolle mithilfe von zu erstellen AWS CLI, senden Sie die folgende Anfrage:


aws iam create-role \
  --role-name my_role_name \
  --assume-role-policy-document '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"Service":["rds.amazonaws.com"]},"Action":"sts:AssumeRole"}]}'

Hängen Sie dann die Richtlinie an die Rolle an:


aws iam put-role-policy \
  --role-name my_role_name \
  --policy-name secret_reader_policy \
  --policy-document '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": [
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_1",
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_2"
            ]
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:us-east-2:account_id:key/key_id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com"
                }
            }
        }
    ]
}'

Nachdem die IAM-Rolle und die Berechtigungen konfiguriert sind, können Sie jetzt einen Proxy erstellen und ihn dieser Rolle zuordnen. Auf diese Weise kann der Proxy Datenbankanmeldedaten sicher aus Ihren Anwendungen abrufen AWS Secrets Manager und die IAM-Authentifizierung für Ihre Anwendungen aktivieren. Detaillierte Anweisungen finden Sie unter Einen Proxy für Amazon RDS — erstellen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Datenbankanmeldedaten einrichten

Einen Proxy erstellen