Création d’une clé KMS Création des secrets de base de données Création d’un rôle IAM Mise à jour de la clé KMS Ajout des stratégies d’autorisation de rôle IAM

Configuration manuelle de l’authentification de base de données et de l’accès aux ressources

Le processus manuel de configuration de l’authentification de la base de données et de l’accès aux ressources comprend les étapes suivantes :

Création du système géré par le client AWS KMS key
Ajout des stratégies d’autorisation de rôle IAM
Création des secrets de base de données
Création d’un rôle IAM
Mettre à jour le système géré par le client AWS KMS key

Ce processus est facultatif et exécute les mêmes tâches que dansConfiguration de l’authentification de la base de données et de l’accès aux ressources à l’aide d’un script. Nous vous recommandons d’utiliser le script.

Création du système géré par le client AWS KMS key

Suivez les procédures décrites dans Création de clés de chiffrement symétriques pour créer une clé KMS gérée par le client. Vous pouvez utiliser une clé existante si elle répond aux exigences suivantes :

Pour créer une clé KMS gérée par le client

Connectez-vous à la AWS KMS console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/km.
Accédez à la page Clés gérées par le client.
Choisissez Create key.
Sur la page Configurer la clé :
1. Pour Type de clé, choisissez Symétrique.
2. Pour Utilisation de la clé, choisissez Chiffrer et déchiffrer.
3. Choisissez Suivant.
Sur la page Ajouter des étiquettes, entrez un Alias tel que limitless, puis choisissez Suivant.
Sur la page Définir les autorisations d’administration de clé, assurez-vous que la case Autoriser les administrateurs clés à supprimer cette clé est cochée, puis choisissez Suivant.
Sur la page Définir des autorisations d’utilisation de clé, choisissez Suivant.
Dans la page Vérification, choisissez Terminer.

La stratégie de clé doit être mise à jour ultérieurement.

Tapez l’Amazon Resource Name (ARN) de la clé KMS qui doit être utilisée dans Ajout des stratégies d’autorisation de rôle IAM.

Pour plus d'informations sur l'utilisation de AWS CLI pour créer la clé KMS gérée par le client, voir create-key et create-alias.

Création des secrets de base de données

Pour permettre à l'utilitaire de chargement de données d'accéder aux tables de base de données source et de destination, vous devez créer deux secrets AWS Secrets Manager : un pour la base de données source et un pour la base de données de destination. Ces secrets stockent les noms d’utilisateur et les mots de passe permettant d’accéder aux bases de données source et de destination.

Suivez les procédures décrites dans Créer un secret AWS Secrets Manager pour créer les secrets de la paire clé-valeur.

Pour créer des secrets de base de données

Ouvrez la console Secrets Manager à l'adresse https://console.aws.amazon.com/secretsmanager/.
Choisissez Store a new secret (Stocker un nouveau secret).
Sur la page Choisir un type de secret :
1. Pour Type de secret, choisissez Autre type de secret.
2. Pour les Paires clé/valeur, choisissez l’onglet Texte brut.
3. Entrez le code JSON suivant, où sourcedbreader et sourcedbpassword sont les informations d’identification de l’utilisateur de la base de données source Création des informations d’identification de base de données source.
```
{
    "username":"sourcedbreader",
    "password":"sourcedbpassword"
}
```
4. Pour Clé de chiffrement, choisissez la clé KMS que vous avez créée dans Création du système géré par le client AWS KMS key, par exemple limitless.
5. Choisissez Suivant.
Sur la page Configurer le secret, indiquez un Nom de secret, tel que source_DB_secret puis choisissez Suivant.
Sur la page Configurer la rotation - facultatif, choisissez Suivant.
Sur la page Review (Vérification), choisissez Store (Stocker).
Répétez la procédure pour le secret de base de données de destination :
1. Entrez le code JSON suivant, où destinationdbwriter et destinationdbpassword sont les informations d’identification de l’utilisateur de la base de données de destination depuis Création des informations d’identification de base de données de destination.
```
{
    "username":"destinationdbwriter",
    "password":"destinationdbpassword"
}
```
2. Saisissez un Nom de secret, par exemple destination_DB_secret.

Enregistrez ARNs les secrets à utiliserAjout des stratégies d’autorisation de rôle IAM.

Création d’un rôle IAM

Le chargement des données nécessite que vous donniez accès aux AWS ressources. Pour fournir un accès, vous créez le rôle IAM aurora-data-loader en suivant les procédures décrites dans Création d’un rôle pour la délégation d’autorisations à un utilisateur IAM.

Pour créer le rôle IAM

Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.
Accédez à la page Rôles.
Choisissez Créer un rôle.

Sur la page Sélectionner une entité de confiance :

Pour Type d’entité de confiance, choisissez Stratégie d’approbation personnalisée.

Entrez le code JSON suivant pour la stratégie d’approbation personnalisée :

Choisissez Suivant.

Sur la page Add permissions (Ajouter des autorisations), sélectionnez Next (Suivant).
Sur la page Nommer, vérifier et créer :
1. Pour Nom du rôle, entrez aurora-data-loader ou un autre nom de votre choix.
2. Choisissez Ajouter une balise et entrez la balise suivante :
  - Clé : assumer
  - Value (Valeur) : aurora_limitless_table_data_load
  Important
  Aurora PostgreSQL Limitless Database peut uniquement assumer un rôle IAM présentant cette balise.
3. Choisissez Créer un rôle.

Mettre à jour le système géré par le client AWS KMS key

Suivez les procédures décrites dans Modification d’une stratégie de clé pour ajouter le rôle IAM aurora-data-loader à la stratégie clé par défaut.

Pour ajouter le rôle IAM à la stratégie de clé

Connectez-vous à la AWS KMS console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/km.
Accédez à la page Clés gérées par le client.
Choisissez la clé KMS que vous avez créée dans Création du système géré par le client AWS KMS key, par exemplelimitless.
Dans l’onglet Stratégie de clé, pour Utilisateurs de clés, sélectionnez Ajouter.
Dans la fenêtre Ajouter des utilisateurs clés, sélectionnez le nom du rôle IAM dans lequel vous avez crééCréation d’un rôle IAM, par exemple aurora-data-loader.
Choisissez Ajouter.

Ajout des stratégies d’autorisation de rôle IAM

Vous devez ajouter des stratégies d’autorisation au rôle IAM que vous avez créé. Cela permet à l’utilitaire de chargement de données Aurora PostgreSQL Limitless Database d’accéder aux ressources AWS associées pour établir des connexions réseau et récupérer les secrets des informations d’identification de la base de données source et de destination.

Pour plus d’informations, consultez Modification d’un rôle.

Pour ajouter des stratégies d’autorisation

Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.
Accédez à la page Rôles.
Choisissez le rôle IAM que vous avez créé dansCréation d’un rôle IAM, par exemple aurora-data-loader.
Dans l’onglet Autorisations, sélectionnez Ajouter des autorisations, puis Créer une stratégie en ligne dans Stratégies d’autorisation.
Sur la page Spécifier les autorisations, choisissez l’éditeur JSON.

Copiez et collez le modèle suivant dans l'éditeur JSON, en remplaçant les espaces réservés par les secrets de votre base de données et la ARNs clé KMS.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Ec2Permission",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkAcls"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:123456789012:secret:source_DB_secret-ABC123",
                "arn:aws:secretsmanager:us-east-1:123456789012:secret:destination_DB_secret-456DEF"
            ]
        },        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/aa11bb22-####-####-####-fedcba123456"
        },
        {
            "Sid": "RdsPermissions",
            "Effect": "Allow",
            "Action": [
                "rds:DescribeDBClusters",
                "rds:DescribeDBInstances"
            ],
            "Resource": "*"
        }
    ]
}

Vérifiez s’il y a des erreurs et corrigez-les.
Choisissez Suivant.
Sur la page Vérifier et créer, saisissez un Nom de stratégie, tel que data_loading_policy, puis choisissez Créer une stratégie.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration de l’accès à l’aide d’un script

Chargement de données dans Limitless Database