Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Passwortverwaltung mit Amazon DocumentDB und AWS Secrets Manager

Amazon DocumentDB ist in Secrets Manager integriert, um primäre Benutzerkennwörter für Ihre Cluster zu verwalten.

Einschränkungen für die Secrets Manager Manager-Integration mit Amazon DocumentDB

Die Verwaltung von Primärbenutzerkennwörtern mit Secrets Manager wird für die folgenden Funktionen nicht unterstützt:

Überblick über die Verwaltung von Primärbenutzerkennwörtern mit AWS Secrets Manager

Mit AWS Secrets Manager können Sie hartcodierte Anmeldeinformationen in Ihrem Code, einschließlich Datenbankkennwörtern, durch einen API-Aufruf an Secrets Manager ersetzen, um das Geheimnis programmgesteuert abzurufen. Weitere Informationen zu Secrets Manager finden Sie im Benutzerhandbuch für AWS Secrets Manager.

Wenn Sie Datenbankgeheimnisse in Secrets Manager speichern, fallen Gebühren für Ihr AWS Konto an. Informationen zu Preisen finden Sie unter AWS Secrets Manager -Preise.

Sie können angeben, dass Amazon DocumentDB das primäre Benutzerkennwort in Secrets Manager für einen Amazon DocumentDB-Cluster verwaltet, wenn Sie einen der folgenden Vorgänge ausführen:

Wenn Sie angeben, dass Amazon DocumentDB das primäre Benutzerkennwort in Secrets Manager verwaltet, generiert Amazon DocumentDB das Passwort und speichert es in Secrets Manager. Sie können direkt mit dem Secret interagieren, um die Anmeldeinformationen für den Hauptbenutzer abzurufen. Sie können auch einen vom Kunden verwalteten Schlüssel angeben, um das Secret zu verschlüsseln, oder den KMS-Schlüssel verwenden, der von Secrets Manager bereitgestellt wird.

Amazon DocumentDB verwaltet die Einstellungen für das Secret und wechselt das Secret standardmäßig alle sieben Tage. Sie können einige Einstellungen ändern, wie zum Beispiel den Rotationsplan. Wenn Sie einen Cluster löschen, der ein Geheimnis in Secrets Manager verwaltet, werden das Geheimnis und die zugehörigen Metadaten ebenfalls gelöscht.

Um eine Verbindung zu einem Cluster mit den Anmeldeinformationen in einem Secret herzustellen, können Sie das Secret von Secrets Manager abrufen. Weitere Informationen finden Sie im AWS Secrets Manager Benutzerhandbuch unter Get Secrets from AWS Secrets Manager and Connect to a SQL database using JDBC with credentials in an AWS Secrets Manager secret.

Durchsetzung der Amazon DocumentDB DocumentDB-Verwaltung des primären Benutzerkennworts in AWS Secrets Manager

Sie können IAM-Bedingungsschlüssel verwenden, um die Amazon DocumentDB DocumentDB-Verwaltung des primären Benutzerkennworts in zu erzwingen. AWS Secrets Manager Die folgende Richtlinie erlaubt es Benutzern nicht, Instances oder Cluster zu erstellen oder wiederherzustellen, es sei denn, das primäre Benutzerkennwort wird von Amazon DocumentDB in Secrets Manager verwaltet.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "rds:CreateDBCluster"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "rds:ManageMasterUserPassword": false
                }
            }
        }
    ]
}

Verwaltung des primären Benutzerpassworts für einen Cluster mit Secrets Manager

Sie können die Amazon DocumentDB DocumentDB-Verwaltung des primären Benutzerkennworts in Secrets Manager konfigurieren, wenn Sie die folgenden Aktionen ausführen:

Sie können die Amazon DocumentDB DocumentDB-Konsole oder die verwenden AWS CLI , um diese Aktionen auszuführen.