Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Administración de contraseñas con Amazon DocumentDB y AWS Secrets Manager

Amazon DocumentDB se integra con Secrets Manager para administrar las contraseñas de los usuarios principales de los clústeres.

Limitaciones de la integración de Secrets Manager con Amazon DocumentDB

Las siguientes características no admiten la administración de contraseñas del usuario principal con Secrets Manager:

Descripción general de la administración de las contraseñas de los usuarios principales con AWS Secrets Manager

Con AWS Secrets Manager, puedes reemplazar las credenciales codificadas de tu código, incluidas las contraseñas de las bases de datos, por una llamada a la API a Secrets Manager para recuperar el secreto mediante programación. Para obtener más información acerca de Secrets Manager, consulte la Guía del usuario de AWS Secrets Manager.

Cuando guardas secretos de bases de datos en Secrets Manager, tu AWS cuenta incurre en cargos. Para obtener información sobre precios, consulte Precios de AWS Secrets Manager.

Puede especificar que Amazon DocumentDB administre la contraseña de usuario principal en Secrets Manager para un clúster de Amazon DocumentDB cuando realice una de las siguientes operaciones:

Cuando especifica que Amazon DocumentDB administre la contraseña del usuario principal en Secrets Manager, Amazon DocumentDB genera la contraseña y la almacena en Secrets Manager. Puede interactuar directamente con el secreto para recuperar las credenciales del usuario principal. También puede especificar una clave gestionada por el cliente para cifrar el secreto o utilizar la clave de KMS que proporciona Secrets Manager.

Amazon DocumentDB administra la configuración del secreto y lo rota cada siete días de forma predeterminada. Puede modificar algunos de los ajustes, como el programa de rotación. Si elimina un clúster que administra un secreto en Secrets Manager, también se eliminarán el secreto y sus metadatos asociados.

Para conectarse a un clúster con las credenciales en un secreto, puede recuperar el secreto en Secrets Manager. Para obtener más información, consulte Obtener secretos de una base de datos SQL AWS Secrets Manager y conectarse a ella mediante JDBC con credenciales en AWS Secrets Manager secreto en la Guía del AWS Secrets Manager usuario.

Hacer cumplir la administración de Amazon DocumentDB de la contraseña del usuario principal en AWS Secrets Manager

Puede utilizar las claves de condición de IAM para hacer que Amazon DocumentDB administre la contraseña del usuario principal en AWS Secrets Manager. La siguiente política no permite que los usuarios creen ni restauren instancias ni clústeres a menos que Amazon DocumentDB administre la contraseña del usuario principal en Secrets Manager.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "rds:CreateDBCluster"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "rds:ManageMasterUserPassword": false
                }
            }
        }
    ]
}

Administración de la contraseña del usuario principal para un clúster con Secrets Manager

Para configurar la administración de Amazon DocumentDB de la contraseña del usuario principal en Secrets Manager, debe realizar las siguientes acciones:

Puede utilizar la consola Amazon DocumentDB o la AWS CLI para realizar estas acciones.