Configuración de la autenticación de bases de datos y el acceso manual a los recursos - Amazon Aurora
Creación de la clave de KMSCreación de los secretos de base de datosCreación del rol de IAMActualización de la clave de KMSAdición de las políticas de permisos del rol de IAM

Configuración de la autenticación de bases de datos y el acceso manual a los recursos

El proceso manual para configurar la autenticación de la base de datos y el acceso a los recursos consta de los siguientes pasos:

  1. Creación de la AWS KMS key administrada por el cliente

  2. Adición de las políticas de permisos del rol de IAM

  3. Creación de los secretos de base de datos

  4. Creación del rol de IAM

  5. Actualización de la AWS KMS key administrada por el cliente

Este proceso es opcional y realiza las mismas tareas que en Configuración de la autenticación de bases de datos y el acceso a los recursos mediante un script. Se recomienda utilizar el script.

Creación de la AWS KMS key administrada por el cliente

Siga los procedimientos que se describen en Creating symmetric encryption keys para crear una clave de KMS administrada por el cliente. También puede utilizar una clave existente si cumple estos requisitos.

Creación de una clave de KMS administrada por el cliente

  1. Inicie sesión en la AWS Management Console y abra la consola de AWS KMS en https://console.aws.amazon.com/kms.

  2. Navegue a la página Claves administradas por el cliente.

  3. Elija Crear clave.

  4. En la página Configurar clave:

    1. En Tipo de clave, seleccione Simétrica.

    2. En Uso de claves, seleccione Cifrar y descifrar.

    3. Elija Siguiente.

  5. En la página Añadir etiquetas, introduzca un alias, como limitless, y elija Siguiente.

  6. En la página Definir permisos de administración de claves, asegúrese de que la casilla de verificación Permitir que los administradores de claves eliminen esta clave esté seleccionada y elija Siguiente.

  7. En la página Definir permisos de uso de claves, elija Siguiente.

  8. En la página Revisar, elija Finalizar.

    La política de claves se actualiza más adelante.

Registre el nombre de recurso de Amazon (ARN) de la clave de KMS que va a usar en Adición de las políticas de permisos del rol de IAM.

Para obtener más información sobre el uso de AWS CLI para crear la clave de KMS administrada por el cliente, consulte create-key y create-alias.

Creación de los secretos de base de datos

Para permitir que la utilidad de carga de datos acceda a las tablas de la base de datos de origen y destino, debe crear dos secretos en AWS Secrets Manager: uno para la base de datos de origen y otro para la base de datos de destino. Estos secretos almacenan los nombres de usuario y las contraseñas para acceder a las bases de datos de origen y destino.

Siga los procedimientos descritos en Create an AWS Secrets Manager secret o para crear los secretos del par clave-valor.

Creación de los secretos de base de datos

  1. Abra la consola de Secrets Manager enhttps://console.aws.amazon.com/secretsmanager/.

  2. Elija Almacenar un secreto nuevo.

  3. Se abre la página Elija tipo de secreto.

    1. En Tipo de secreto, seleccione Otro tipo de secreto.

    2. Para Pares clave-valor, elija la pestaña Texto no cifrado.

    3. Introduzca el siguiente código JSON, dónde sourcedbreader y sourcedbpassword son las credenciales del usuario de la base de datos de origen de Creación de las credenciales de la base de datos de origen.

      {
    "username":"sourcedbreader",
    "password":"sourcedbpassword"
}

    4. Para Clave de cifrado, elija la clave de KMS que ha creado en Creación de la AWS KMS key administrada por el cliente, por ejemplo, limitless.

    5. Elija Siguiente.

  4. En la página Configurar secreto, en Nombre del secreto, introduzca source_DB_secret y, luego, elija Siguiente.

  5. En la página Configurar la rotación. Opcional, elija Siguiente.

  6. En la página Revisar, elija Almacenar.

  7. Repita el procedimiento para el secreto de la base de datos de destino:

    1. Introduzca el siguiente código JSON, dónde destinationdbwriter y destinationdbpassword son las credenciales del usuario de la base de datos de destino de Creación de las credenciales de la base de datos de destino.

      {
    "username":"destinationdbwriter",
    "password":"destinationdbpassword"
}

    2. Escriba un Nombre del secreto, como destination_DB_secret.

Registre los ARN de los secretos que desee utilizar en Adición de las políticas de permisos del rol de IAM.

Creación del rol de IAM

La carga de datos requiere que proporcione acceso a los recursos de AWS. Para proporcionar acceso, debe crear el rol de IAM aurora-data-loader siguiendo los procedimientos descritos en Crear un rol para delegar permisos a un usuario de IAM.

Creación del rol de IAM

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Vaya a la página Roles.

  3. Elija Creación de rol.

  4. En la página Seleccionar entidad de confianza:

    1. En Tipo de entidad de confianza, elija Política de confianza personalizada.

    2. Introduzca el siguiente código JSON para la política de confianza personalizada:

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "rds.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    3. Elija Siguiente.

  5. En la página Agregar permisos, elija Siguiente.

  6. En la página Asignar nombre, revisar y crear:

    1. En Nombre del rol, escriba aurora-data-loader u otro nombre que prefiera.

    2. Elija Agregar etiqueta e introduzca la siguiente etiqueta:

      • Clave: assumer

      • Valor: aurora_limitless_table_data_load

      importante

      Base de datos ilimitada de Aurora PostgreSQL solo puede asumir un rol de IAM que tenga esta etiqueta.

    3. Elija Creación de rol.

Actualización de la AWS KMS key administrada por el cliente

Siga los procedimientos que se explican en Changing a key policy para añadir el rol de IAM aurora-data-loader a la política de claves predeterminada.

Adición del rol de IAM a la política de claves

  1. Inicie sesión en la AWS Management Console y abra la consola de AWS KMS en https://console.aws.amazon.com/kms.

  2. Navegue a la página Claves administradas por el cliente.

  3. Elija la clave de KMS que ha creado en Creación de la AWS KMS key administrada por el cliente, por ejemplo, limitless.

  4. En la pestaña Política de claves, para Usuarios de claves, elija Agregar.

  5. En la ventana Agregar usuarios de claves, seleccione el nombre del rol de IAM en el que ha creado en Creación del rol de IAM, por ejemplo, aurora-data-loader.

  6. Elija Agregar.

Adición de las políticas de permisos del rol de IAM

Debe añadir políticas de permisos al rol de IAM que ha creado. Esto permite a la utilidad de carga de datos de Base de datos ilimitada de Aurora PostgreSQL acceder a los recursos de AWS relacionados para crear conexiones de red y recuperar los secretos de las credenciales de base de datos de origen y destino.

Para obtener más información, consulte Modificación de un rol.

Adición de las políticas de permisos

  1. Inicie sesión en la AWS Management Console y abra la consola de IAM en https://console.aws.amazon.com/iam/.

  2. Vaya a la página Roles.

  3. Elija el rol de IAM que ha creado en Creación del rol de IAM, por ejemplo, aurora-data-loader.

  4. En la pestaña Permisos, elija Agregar permisos para Políticas de permisos y, a continuación, Crear política insertada.

  5. En la página Especificar permisos, seleccione el editor JSON.

  6. Copie y pegue la siguiente plantilla en el editor de JSON y reemplace los marcadores de posición por los ARN de los secretos de la base de datos y la clave de KMS.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Ec2Permission",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkAcls"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:123456789012:secret:source_DB_secret-ABC123",
                "arn:aws:secretsmanager:us-east-1:123456789012:secret:destination_DB_secret-456DEF"
            ]
        },        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/aa11bb22-####-####-####-fedcba123456"
        },
        {
            "Sid": "RdsPermissions",
            "Effect": "Allow",
            "Action": [
                "rds:DescribeDBClusters",
                "rds:DescribeDBInstances"
            ],
            "Resource": "*"
        }
    ]
}

  7. Compruebe si hay errores y corríjalos.

  8. Elija Siguiente.

  9. En la página Revisar y crear, ingrese un Nombre de la política como data_loading_policy y, luego, elija Crear política.