Gestion des mots de passe d’administrateur Amazon Redshift à l’aide d’AWS Secrets Manager - Amazon Redshift
Autorisations requises pour l’intégration d’AWS Secrets ManagerRotation secrète des mots de passe administrateurConsidérations relatives à l’utilisation d’AWS Secrets Manager avec Amazon Redshift

Amazon Redshift ne prendra plus en charge la création de nouveaux Python UDFs à compter du 1er novembre 2025. Si vous souhaitez utiliser Python UDFs, créez la version UDFs antérieure à cette date. Le Python existant UDFs continuera à fonctionner normalement. Pour plus d’informations, consultez le billet de blog .

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des mots de passe d’administrateur Amazon Redshift à l’aide d’AWS Secrets Manager

Amazon Redshift peut s’intégrer à AWS Secrets Manager pour générer et gérer vos informations d’identification d’administrateur à l’intérieur d’un secret chiffré. Avec AWS Secrets Manager, vous pouvez remplacer vos mots de passe d’administrateur par un appel d’API pour récupérer par programmation le secret lorsque cela est nécessaire. L’utilisation de secrets à la place d’informations d’identification codées en dur réduit le risque de divulgation ou de compromission de ces informations d’identification. Pour plus d’informations sur AWS Secrets Manager, consultez le Guide de l’utilisateur AWS Secrets Manager.

Vous pouvez spécifier qu’Amazon Redshift doit gérer votre mot de passe d’administrateur à l’aide d’AWS Secrets Manager lorsque vous effectuez l’une des opérations suivantes :

  • Créer un cluster alloué ou d’un espace de noms sans serveur

  • Modifier ou mettre à jour les informations d’identification d’administrateur d’un cluster alloué ou d’un espace de noms sans serveur

  • Restaurer un cluster ou d’un espace de noms sans serveur à partir d’un instantané

Quand vous spécifiez qu’Amazon Redshift doit gérer le mot de passe d’administrateur dans AWS Secrets Manager, Amazon Redshift génère le mot de passe et le stocke dans Secrets Manager. Vous pouvez accéder directement au secret dans AWS Secrets Manager pour récupérer les informations d’identification de l’utilisateur administrateur. Vous pouvez éventuellement spécifier une clé gérée par le client pour chiffrer le secret si vous devez accéder au secret depuis un autre compte AWS. Vous pouvez également utiliser la clé KMS fournie par AWS Secrets Manager.

Amazon Redshift gère les paramètres du secret et effectue la rotation du secret tous les 30 jours, par défaut. Vous pouvez effectuer la rotation du secret manuellement à tout moment. Si vous supprimez un cluster provisionné ou un espace de noms sans serveur qui gère un secret dans AWS Secrets Manager, le secret et les métadonnées associées sont également supprimés.

Pour vous connecter à un cluster provisionné ou à un espace de noms sans serveur avec des informations d’identification gérées par secret, vous pouvez récupérer le secret à partir d’AWS Secrets Manager à l’aide de la console Secrets Manager ou de l’appel d’API Secrets Manager GetSecretValue. Pour plus d’informations, consultez Récupération des secrets à partir de AWS Secrets Manager et Se connecter à une base de données SQL avec des informations d’identification dans un secret AWS Secrets Manager dans le Guide de l’utilisateur AWS Secrets Manager.

Autorisations requises pour l’intégration d’AWS Secrets Manager

Les utilisateurs doivent disposer des autorisations requises pour effectuer des opérations liées à l’intégration d’AWS Secrets Manager. Créez des politiques IAM qui accordent des autorisations pour effectuer des opérations d’API spécifiques sur les ressources spécifiées dont elles ont besoin. Attachez ensuite ces politiques aux jeux d’autorisations ou rôles IAM qui requièrent ces autorisations. Pour plus d’informations, consultez Identity and Access Management dans Amazon Redshift.

L’utilisateur qui spécifie qu’Amazon Redshift doit gérer le mot de passe d’administrateur dans AWS Secrets Manager doit avoir les autorisations nécessaires pour effectuer les opérations suivantes :

  • secretsmanager:CreateSecret

  • secretsmanager:RotateSecret

  • secretsmanager:DescribeSecret

  • secretsmanager:UpdateSecret

  • secretsmanager:DeleteSecret

  • secretsmanager:GetRandomPassword

  • secretsmanager:TagResource

Si l’utilisateur souhaite transmettre une clé KMS dans le paramètre MasterPasswordSecretKmsKeyId pour les clusters provisionnés, ou dans le paramètre AdminPasswordSecretKmsKeyId pour les espaces de noms sans serveur, il a besoin des autorisations suivantes en plus des autorisations répertoriées ci-dessus.

  • kms:Decrypt

  • kms:GenerateDataKey

  • kms:CreateGrant

  • kms:RetireGrant

Rotation secrète des mots de passe administrateur

Par défaut, Amazon Redshift effectue la rotation automatique de votre secret tous les 30 jours afin de garantir que vos informations d’identification ne restent pas les mêmes pendant de longues périodes. Quand Amazon Redshift effectue la rotation d’un secret de mot de passe d’administrateur, AWS Secrets Manager met à jour le secret existant pour qu’il contienne un nouveau mot de passe d’administrateur. Amazon Redshift modifie le mot de passe d’administrateur du cluster afin qu’il corresponde au mot de passe indiqué dans le secret mis à jour.

Vous pouvez effectuer immédiatement la rotation d’un secret au lieu d’attendre une rotation planifiée en utilisant AWS Secrets Manager. Pour plus d’informations sur la rotation des secrets, consultez Rotation des secrets AWS Secrets Manager dans le Guide de l’utilisateur AWS Secrets Manager.

Considérations relatives à l’utilisation d’AWS Secrets Manager avec Amazon Redshift

Lorsque vous l’utilisez AWS Secrets Manager pour gérer les informations d’identification d’administrateur de votre cluster provisionné ou espace de noms sans serveur, tenez compte des points suivants :

  • Lorsque vous suspendez un cluster dont les informations d’identification d’administrateur sont gérées par AWS Secrets Manager, le secret de votre cluster n’est pas supprimé et il continuera à vous être facturé. Les secrets ne sont supprimés que lorsque vous supprimez le cluster.

  • Si votre cluster est suspendu quand Amazon Redshift tente d’effectuer la rotation du secret qui lui est attaché, la rotation échoue. Dans ce cas, Amazon Redshift arrête la rotation automatique et n’essaiera plus d’effectuer la rotation, même après la reprise du cluster. Vous devez redémarrer la planification de la rotation automatique à l’aide de l’appel d’API secretsmanager:RotateSecret pour qu’AWS Secrets Manager continue à effectuer la rotation automatique de votre secret.

  • Si aucun groupe de travail n’est associé à votre espace de noms sans serveur quand Amazon Redshift tente d’effectuer la rotation du secret qui lui est attaché, la rotation échoue et ne sera plus tentée, même une fois qu’un groupe de travail est attaché. Vous devez redémarrer la planification de la rotation automatique à l’aide de l’appel d’API secretsmanager:RotateSecret pour qu’AWS Secrets Manager continue à effectuer la rotation automatique de votre secret.