Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des mots de passe avec Amazon DocumentDB et AWS Secrets Manager

Amazon DocumentDB s'intègre à Secrets Manager pour gérer les mots de passe des utilisateurs principaux de vos clusters.

Limites relatives à l'intégration de Secrets Manager à Amazon DocumentDB

La gestion des mots de passe des utilisateurs principaux avec Secrets Manager n'est pas prise en charge pour les fonctionnalités suivantes :

Vue d'ensemble de la gestion des mots de passe des utilisateurs principaux avec AWS Secrets Manager

Vous pouvez AWS Secrets Manager ainsi remplacer les informations d'identification codées en dur dans votre code, y compris les mots de passe de base de données, par un appel d'API à Secrets Manager pour récupérer le secret par programmation. Pour plus d'informations sur Secrets Manager, consultez le Guide de l'utilisateur AWS Secrets Manager.

Lorsque vous stockez des secrets de base de données dans Secrets Manager, des frais sont facturés à votre AWS compte. Pour plus d’informations sur la tarification, consultez Tarification AWS Secrets Manager.

Vous pouvez spécifier qu'Amazon DocumentDB gère le mot de passe utilisateur principal dans Secrets Manager pour un cluster Amazon DocumentDB lorsque vous effectuez l'une des opérations suivantes :

Lorsque vous spécifiez qu'Amazon DocumentDB gère le mot de passe utilisateur principal dans Secrets Manager, Amazon DocumentDB génère le mot de passe et le stocke dans Secrets Manager. Vous pouvez interagir directement avec le secret pour récupérer les informations d'identification de l'utilisateur principal. Vous pouvez également spécifier une clé gérée par le client pour chiffrer le secret, ou utiliser la clé KMS fournie par Secrets Manager.

Amazon DocumentDB gère les paramètres du secret et fait pivoter le secret tous les sept jours par défaut. Vous pouvez modifier certains paramètres, tels que la planification de la rotation. Si vous supprimez un cluster qui gère un secret dans Secrets Manager, le secret et ses métadonnées associées sont également supprimés.

Pour vous connecter à un cluster avec les informations d'identification contenues dans un secret, vous pouvez récupérer le secret dans Secrets Manager. Pour plus d'informations, voir Obtenir des secrets depuis une base de données SQL AWS Secrets Manager et se connecter à une base de données SQL à l'aide de JDBC avec des informations d'identification inscrites dans un AWS Secrets Manager secret dans le Guide de l'AWS Secrets Manager utilisateur.

Application de la gestion du mot de passe de l'utilisateur principal par Amazon DocumentDB dans AWS Secrets Manager

Vous pouvez utiliser les clés de condition IAM pour appliquer la gestion du mot de passe de l'utilisateur principal par Amazon DocumentDB dans. AWS Secrets Manager La politique suivante n'autorise pas les utilisateurs à créer ou à restaurer des instances ou des clusters, sauf si le mot de passe de l'utilisateur principal est géré par Amazon DocumentDB dans Secrets Manager.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "rds:CreateDBCluster"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "rds:ManageMasterUserPassword": false
                }
            }
        }
    ]
}

Gestion du mot de passe de l'utilisateur principal pour un cluster avec Secrets Manager

Vous pouvez configurer la gestion du mot de passe de l'utilisateur principal par Amazon DocumentDB dans Secrets Manager lorsque vous effectuez les actions suivantes :

Vous pouvez utiliser la console Amazon DocumentDB ou le AWS CLI pour effectuer ces actions.