Configuration de l'authentification IAM pour le proxy RDS - Amazon Relational Database Service
PrérequisCréation d'une politique IAM pour l'accès à Secrets Manager

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de l'authentification IAM pour le proxy RDS

Pour configurer l'authentification AWS Identity and Access Management (IAM) pour le proxy RDS dans Amazon RDS, créez et configurez une politique IAM qui accorde les autorisations nécessaires. Le proxy RDS permet de gérer les informations d'identification de la base de données de manière sécurisée, ce qui permet aux applications de s'authentifier via le proxy sans gérer directement les informations d'identification. AWS Secrets Manager

Cette rubrique décrit les étapes de configuration de l'authentification IAM pour le proxy RDS, notamment la création de la politique IAM requise et son association à un rôle IAM.

Astuce

Cette procédure n'est nécessaire que si vous souhaitez créer votre propre rôle IAM. Sinon, RDS peut créer automatiquement le rôle requis lorsque vous configurez le proxy. Vous pouvez donc ignorer ces étapes.

Prérequis

Avant de configurer l'authentification IAM pour le proxy RDS, assurez-vous que vous disposez des éléments suivants :

Création d'une politique IAM pour l'accès à Secrets Manager

Pour permettre au proxy RDS de récupérer les informations d'identification de la base de données auprès de Secrets Manager, créez un rôle IAM avec une politique qui accorde les autorisations nécessaires.

Pour créer un rôle permettant d'accéder à vos secrets à utiliser avec votre proxy

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Créez une politique d'autorisation pour le rôle. Pour les étapes générales, voir Créer des politiques IAM (console).

    Collez cette politique dans l'éditeur JSON et apportez les modifications suivantes :

    • Indiquez votre propre ID de compte.

    • Remplacez us-east-2 par la région où résidera le mandataire.

    • Remplacez les noms secrets par ceux que vous avez créés. Pour plus d'informations, consultez la section Spécification des clés KMS dans les déclarations de politique IAM.

    • Remplacez l'ID de clé KMS par celui que vous avez utilisé pour chiffrer les secrets de Secrets Manager, qu'il s'agisse de la clé par défaut ou de votre propre clé.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": [
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_1",
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_2"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:us-east-2:account_id:key/key_id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com"
                }
            }
        }
    ]
}

  3. Créez le rôle et associez-y la politique d'autorisations. Pour les étapes générales, voir Créer un rôle pour déléguer des autorisations à un AWS service.

    Pour le type d'entité de confiance, choisissez AWS service. Sous Cas d'utilisation, sélectionnez RDS et choisissez RDS - Ajouter un rôle à la base de données pour le cas d'utilisation.

  4. Pour les politiques d'autorisations, choisissez la politique que vous avez créée.

  5. Pour Sélectionner les entités de confiance, entrez la politique de confiance suivante pour le rôle :

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "rds.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Pour créer le rôle à l'aide du AWS CLI, envoyez la demande suivante :

aws iam create-role \
  --role-name my_role_name \
  --assume-role-policy-document '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"Service":["rds.amazonaws.com"]},"Action":"sts:AssumeRole"}]}'

Attachez ensuite la politique au rôle :

aws iam put-role-policy \
  --role-name my_role_name \
  --policy-name secret_reader_policy \
  --policy-document '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": [
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_1",
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_2"
            ]
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:us-east-2:account_id:key/key_id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com"
                }
            }
        }
    ]
}'

Une fois le rôle et les autorisations IAM configurés, vous pouvez désormais créer un proxy et l'associer à ce rôle. Cela permet au proxy de récupérer les informations d'identification de la base de données en toute sécurité AWS Secrets Manager et d'activer l'authentification IAM pour vos applications. Pour obtenir des instructions, consultez Création d'un proxy pour Amazon RDS ( Aurora).