Menyiapkan otentikasi database dan akses sumber daya secara manual - Amazon Aurora
Membuat kunci KMSMembuat rahasia databaseMembuat peran IAMMemperbarui kunci KMSMenambahkan kebijakan izin peran IAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan otentikasi database dan akses sumber daya secara manual

Proses manual untuk menyiapkan otentikasi database dan akses sumber daya memiliki langkah-langkah berikut:

  1. Membuat yang dikelola pelanggan AWS KMS key

  2. Menambahkan kebijakan izin peran IAM

  3. Membuat rahasia database

  4. Membuat peran IAM

  5. Memperbarui yang dikelola pelanggan AWS KMS key

Proses ini opsional, dan melakukan tugas yang sama seperti diMenyiapkan otentikasi database dan akses sumber daya menggunakan skrip. Kami merekomendasikan menggunakan skrip.

Membuat yang dikelola pelanggan AWS KMS key

Ikuti prosedur dalam Membuat kunci enkripsi simetris untuk membuat kunci KMS yang dikelola pelanggan. Anda juga dapat menggunakan kunci yang ada jika memenuhi persyaratan ini.

Untuk membuat kunci KMS yang dikelola pelanggan

  1. Masuk ke AWS Management Console dan buka AWS KMS konsol di https://console.aws.amazon.com/kms.

  2. Arahkan ke halaman kunci terkelola Pelanggan.

  3. Pilih Buat kunci.

  4. Pada halaman tombol Konfigurasi:

    1. Untuk Key type, pilih Symmetric.

    2. Untuk penggunaan Kunci, pilih Enkripsi dan dekripsi.

    3. Pilih Berikutnya.

  5. Pada halaman Tambahkan label, masukkan Alias sepertilimitless, lalu pilih Berikutnya.

  6. Pada halaman Tentukan izin administratif kunci, pastikan kotak centang Izinkan administrator kunci untuk menghapus kunci ini dipilih, lalu pilih Berikutnya.

  7. Pada halaman Tentukan izin penggunaan kunci, pilih Berikutnya.

  8. Pada halaman Ulasan, pilih Selesai.

    Anda memperbarui kebijakan kunci nanti.

Rekam Nama Sumber Daya Amazon (ARN) dari kunci KMS untuk digunakan. Menambahkan kebijakan izin peran IAM

Untuk informasi tentang penggunaan AWS CLI untuk membuat kunci KMS yang dikelola pelanggan, lihat create-key dan create-alias.

Membuat rahasia database

Untuk memungkinkan utilitas pemuatan data mengakses tabel database sumber dan tujuan, Anda membuat dua rahasia di AWS Secrets Manager: satu untuk database sumber dan satu untuk database tujuan. Rahasia ini menyimpan nama pengguna dan kata sandi untuk mengakses basis data sumber dan tujuan.

Ikuti prosedur di Buat AWS Secrets Manager rahasia untuk membuat rahasia pasangan kunci-nilai.

Untuk membuat rahasia database

  1. Buka konsol Secrets Manager di https://console.aws.amazon.com/secretsmanager/.

  2. Pilih Simpan rahasia baru.

  3. Pada halaman Pilih jenis rahasia:

    1. Untuk tipe Rahasia, pilih Jenis rahasia lainnya.

    2. Untuk pasangan kunci/nilai, pilih tab Plaintext.

    3. Masukkan kode JSON berikut, di mana sourcedbreader dan sourcedbpassword merupakan kredensil untuk pengguna basis data sumber dari. Buat kredensi basis data sumber

      {
    "username":"sourcedbreader",
    "password":"sourcedbpassword"
}

    4. Untuk kunci Enkripsi, pilih kunci KMS yang Anda buatMembuat yang dikelola pelanggan AWS KMS key, misalnyalimitless.

    5. Pilih Berikutnya.

  4. Pada halaman Konfigurasi rahasia, masukkan nama Rahasia, sepertisource_DB_secret, lalu pilih Berikutnya.

  5. Pada halaman Konfigurasi rotasi - opsional, pilih Berikutnya.

  6. Pada halaman Review, pilih Store.

  7. Ulangi prosedur untuk rahasia database tujuan:

    1. Masukkan kode JSON berikut, dari mana destinationdbwriter dan destinationdbpassword merupakan kredensil untuk pengguna database tujuan. Buat kredenal database tujuan

      {
    "username":"destinationdbwriter",
    "password":"destinationdbpassword"
}

    2. Masukkan nama Rahasia, sepertidestination_DB_secret.

ARNs Catat rahasia untuk digunakanMenambahkan kebijakan izin peran IAM.

Membuat peran IAM

Pemuatan data mengharuskan Anda untuk menyediakan akses ke AWS sumber daya. Untuk memberikan akses, Anda membuat peran aurora-data-loader IAM dengan mengikuti prosedur dalam Membuat peran untuk mendelegasikan izin ke pengguna IAM.

Untuk membuat peran IAM

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Arahkan ke halaman Peran.

  3. Pilih Buat peran.

  4. Pada halaman Pilih entitas tepercaya:

    1. Untuk jenis entitas Tepercaya, pilih Kebijakan kepercayaan khusus.

    2. Masukkan kode JSON berikut untuk kebijakan kepercayaan khusus:

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "rds.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    3. Pilih Berikutnya.

  5. Pada halaman Tambahkan izin, pilih Berikutnya.

  6. Pada halaman Nama, tinjau, dan buat:

    1. Untuk nama Peran, masukkan aurora-data-loader atau nama lain yang Anda inginkan.

    2. Pilih Tambah tag, dan masukkan tag berikut:

      • Kunci: assumer

      • Nilai: aurora_limitless_table_data_load

      penting

      Database Aurora PostgreSQL Limitless hanya dapat mengambil peran IAM yang memiliki tag ini.

    3. Pilih Buat peran.

Memperbarui yang dikelola pelanggan AWS KMS key

Ikuti prosedur di Mengubah kebijakan kunci untuk menambahkan peran IAM aurora-data-loader ke kebijakan kunci default.

Untuk menambahkan peran IAM ke kebijakan kunci

  1. Masuk ke AWS Management Console dan buka AWS KMS konsol di https://console.aws.amazon.com/kms.

  2. Arahkan ke halaman kunci terkelola Pelanggan.

  3. Pilih tombol KMS yang Anda buatMembuat yang dikelola pelanggan AWS KMS key, misalnyalimitless.

  4. Pada tab Kebijakan kunci, untuk pengguna kunci, pilih Tambah.

  5. Di jendela Tambah pengguna kunci, pilih nama peran IAM yang Anda buatMembuat peran IAM, misalnya aurora-data-loader.

  6. Pilih Tambahkan.

Menambahkan kebijakan izin peran IAM

Anda harus menambahkan kebijakan izin ke peran IAM yang Anda buat. Hal ini memungkinkan utilitas pemuatan data Database Aurora PostgreSQL Limitless untuk mengakses AWS sumber daya terkait untuk membangun koneksi jaringan dan mengambil rahasia kredensi DB sumber dan tujuan.

Untuk informasi selengkapnya, lihat Memodifikasi peran.

Untuk menambahkan kebijakan izin

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Arahkan ke halaman Peran.

  3. Pilih peran IAM yang Anda buatMembuat peran IAM, misalnya aurora-data-loader.

  4. Pada tab Izin, untuk kebijakan Izin pilih Tambahkan izin, lalu Buat kebijakan sebaris.

  5. Pada halaman Tentukan izin, pilih editor JSON.

  6. Salin dan tempel template berikut ke editor JSON, ganti placeholder dengan rahasia database dan ARNs kunci KMS Anda.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Ec2Permission",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkAcls"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:123456789012:secret:source_DB_secret-ABC123",
                "arn:aws:secretsmanager:us-east-1:123456789012:secret:destination_DB_secret-456DEF"
            ]
        },        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/aa11bb22-####-####-####-fedcba123456"
        },
        {
            "Sid": "RdsPermissions",
            "Effect": "Allow",
            "Action": [
                "rds:DescribeDBClusters",
                "rds:DescribeDBInstances"
            ],
            "Resource": "*"
        }
    ]
}

  7. Periksa kesalahan dan perbaiki.

  8. Pilih Berikutnya.

  9. Pada halaman Tinjau dan buat, masukkan nama Kebijakan sepertidata_loading_policy, lalu pilih Buat kebijakan.