Création de la clé KMS Création des secrets de base de données Création du rôle IAM Mise à jour de la clé KMS Ajouter les politiques d'autorisation du rôle IAM

Configuration manuelle de l'authentification à la base de données et de l'accès aux ressources

Le processus manuel de configuration de l'authentification à la base de données et de l'accès aux ressources comprend les étapes suivantes :

Création de la solution gérée par le client AWS KMS key
Ajouter les politiques d'autorisation du rôle IAM
Création des secrets de base de données
Création du rôle IAM
Mettre à jour le système géré par le client AWS KMS key

Ce processus est facultatif et exécute les mêmes tâches que dansConfiguration de l'authentification à la base de données et de l'accès aux ressources à l'aide d'un script. Nous vous recommandons d'utiliser le script.

Création de la solution gérée par le client AWS KMS key

Suivez les procédures décrites dans Création de clés de chiffrement symétriques pour créer une clé KMS gérée par le client. Vous pouvez également utiliser une clé existante si elle répond à ces exigences.

Pour créer une clé KMS gérée par le client

Connectez-vous à la AWS KMS console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/km.
Accédez à la page des clés gérées par le client.
Choisissez Create key.
Sur la page Configurer la clé :
1. Pour Type de clé, sélectionnez Symétrique.
2. Pour Utilisation des clés, sélectionnez Chiffrer et déchiffrer.
3. Choisissez Suivant.
Sur la page Ajouter des étiquettes, entrez un alias tel quelimitless, puis choisissez Next.
Sur la page Définir les autorisations administratives clés, assurez-vous que la case Autoriser les administrateurs clés à supprimer cette clé est cochée, puis choisissez Suivant.
Sur la page Définir des autorisations d'utilisation de clé, choisissez Suivant.
Dans la page Vérification, choisissez Terminer.

Vous mettrez à jour la politique clé ultérieurement.

Enregistrez les Amazon Resource Names (ARN) de la clé KMS à utiliser dansAjouter les politiques d'autorisation du rôle IAM.

Pour plus d'informations sur l'utilisation de AWS CLI pour créer la clé KMS gérée par le client, voir create-key et create-alias.

Création des secrets de base de données

Pour permettre à l'utilitaire de chargement de données d'accéder aux tables de base de données source et de destination, vous devez créer deux secrets AWS Secrets Manager : un pour la base de données source et un pour la base de données de destination. Ces secrets stockent les noms d'utilisateur et les mots de passe permettant d'accéder aux bases de données source et de destination.

Suivez les procédures décrites dans Créer un AWS Secrets Manager secret pour créer les secrets de la paire clé-valeur.

Pour créer les secrets de base de données

Ouvrez la console Secrets Manager à l'adresse https://console.aws.amazon.com/secretsmanager/.
Choisissez Store a new secret (Stocker un nouveau secret).
Sur la page Choisir le type de secret :
1. Pour Type de secret, sélectionnez Autre type de secret.
2. Pour les paires clé/valeur, choisissez l'onglet Texte en clair.
3. Entrez le code JSON suivant, où sourcedbreader et sourcedbpassword sont les informations d'identification de l'utilisateur de la base de données sourceCréation des informations d'identification de la base de données source.
```
{
    "username":"sourcedbreader",
    "password":"sourcedbpassword"
}
```
4. Pour Clé de chiffrement, choisissez la clé KMS que vous avez créée dansCréation de la solution gérée par le client AWS KMS key, par exemplelimitless.
5. Choisissez Suivant.
Sur la page Configurer le secret, entrez un nom secret, tel quesource_DB_secret, puis choisissez Next.
Sur la page Configurer la rotation - facultatif, choisissez Next.
Sur la page Review (Vérification), choisissez Store (Stocker).
Répétez la procédure pour le secret de la base de données de destination :
1. Entrez le code JSON suivant, d'où destinationdbpassword proviennent destinationdbwriter les informations d'identification de l'utilisateur de la base de données de destinationCréation des informations d'identification de base de données de destination.
```
{
    "username":"destinationdbwriter",
    "password":"destinationdbpassword"
}
```
2. Entrez un nom secret, tel quedestination_DB_secret.

Enregistrez ARNs les secrets à utiliserAjouter les politiques d'autorisation du rôle IAM.

Création du rôle IAM

Le chargement des données nécessite que vous donniez accès aux AWS ressources. Pour fournir un accès, vous créez le rôle aurora-data-loader IAM en suivant les procédures décrites dans Création d'un rôle pour déléguer des autorisations à un utilisateur IAM.

Pour créer le rôle IAM

Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.
Accédez à la page Rôles.
Choisissez Créer un rôle.

Sur la page Sélectionner une entité de confiance :

Pour Type d'entité de confiance, sélectionnez Politique de confiance personnalisée.

Entrez le code JSON suivant pour la politique de confiance personnalisée :

Choisissez Suivant.

Sur la page Add permissions (Ajouter des autorisations), sélectionnez Next (Suivant).
Sur la page Nom, révision et création :
1. Dans Nom du rôle, entrez le nom aurora-data-loader ou un autre nom que vous préférez.
2. Choisissez Ajouter une étiquette, puis entrez la balise suivante :
  - Clé : assumer
  - Value (Valeur) : aurora_limitless_table_data_load
  Important
  La base de données Aurora PostgreSQL Limitless peut uniquement assumer un rôle IAM doté de cette balise.
3. Choisissez Créer un rôle.

Mettre à jour le système géré par le client AWS KMS key

Suivez les procédures décrites dans Modification d'une politique clé pour ajouter le rôle IAM aurora-data-loader à la stratégie clé par défaut.

Pour ajouter le rôle IAM à la politique clé

Connectez-vous à la AWS KMS console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/km.
Accédez à la page des clés gérées par le client.
Choisissez la clé KMS que vous avez créée dansCréation de la solution gérée par le client AWS KMS key, par exemplelimitless.
Dans l'onglet Politique clé, pour Utilisateurs clés, sélectionnez Ajouter.
Dans la fenêtre Ajouter des utilisateurs clés, sélectionnez le nom du rôle IAM dans lequel vous avez crééCréation du rôle IAM, par exemple aurora-data-loader.
Choisissez Ajouter.

Ajouter les politiques d'autorisation du rôle IAM

Vous devez ajouter des politiques d'autorisation au rôle IAM que vous avez créé. Cela permet à l'utilitaire de chargement de données de la base de données Aurora PostgreSQL Limitless d'accéder aux ressources AWS associées pour établir des connexions réseau et récupérer les secrets d'identification de la base de données source et de destination.

Pour plus d’informations, consultez Modification d’un rôle.

Pour ajouter les politiques d'autorisation

Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.
Accédez à la page Rôles.
Choisissez le rôle IAM que vous avez créé dansCréation du rôle IAM, par exemple aurora-data-loader.
Dans l'onglet Autorisations, pour les politiques d'autorisations, choisissez Ajouter des autorisations, puis Créer une politique en ligne.
Sur la page Spécifier les autorisations, choisissez l'éditeur JSON.

Copiez et collez le modèle suivant dans l'éditeur JSON, en remplaçant les espaces réservés par les secrets de votre base de données et la ARNs clé KMS.

JSON


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Ec2Permission",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkAcls"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:123456789012:secret:source_DB_secret-ABC123",
                "arn:aws:secretsmanager:us-east-1:123456789012:secret:destination_DB_secret-456DEF"
            ]
        },        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/aa11bb22-####-####-####-fedcba123456"
        },
        {
            "Sid": "RdsPermissions",
            "Effect": "Allow",
            "Action": [
                "rds:DescribeDBClusters",
                "rds:DescribeDBInstances"
            ],
            "Resource": "*"
        }
    ]
}

Vérifiez les erreurs et corrigez-les.
Choisissez Suivant.
Sur la page Réviser et créer, entrez un nom de politique tel quedata_loading_policy, puis choisissez Créer une politique.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration de l'accès à l'aide d'un script

Chargement de données dans une base de données illimitée