Mengkonfigurasi otentikasi IAM untuk RDS Proxy - Layanan Basis Data Relasional Amazon
PrasyaratMembuat kebijakan IAM untuk akses Secrets Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi otentikasi IAM untuk RDS Proxy

Untuk menyiapkan autentikasi AWS Identity and Access Management (IAM) untuk Proxy RDS di Amazon RDS, buat dan konfigurasikan kebijakan IAM yang memberikan izin yang diperlukan. RDS Proxy menggunakan AWS Secrets Manager untuk mengelola kredensional database dengan aman, yang memungkinkan aplikasi untuk mengautentikasi melalui proxy tanpa langsung menangani kredensi.

Topik ini menyediakan langkah-langkah untuk mengonfigurasi autentikasi IAM untuk RDS Proxy, termasuk membuat kebijakan IAM yang diperlukan dan melampirkannya ke peran IAM.

Tip

Prosedur ini hanya diperlukan jika Anda ingin membuat peran IAM Anda sendiri. Jika tidak, RDS dapat secara otomatis membuat peran yang diperlukan saat Anda mengatur proxy, sehingga Anda dapat melewati langkah-langkah ini.

Prasyarat

Sebelum Anda mengatur autentikasi IAM untuk RDS Proxy, pastikan Anda memiliki yang berikut:

  • AWS Secrets ManagerSetidaknya satu rahasia tersimpan yang berisi kredensi database. Untuk instruksi untuk membuat rahasia, lihatMenyiapkan kredensi database AWS Secrets Manager untuk RDS Proxy.

  • Izin IAM — Peran IAM atau pengguna dengan izin untuk membuat dan mengelola kebijakan, peran, dan rahasia IAM. AWS Secrets Manager

Membuat kebijakan IAM untuk akses Secrets Manager

Untuk mengizinkan RDS Proxy mengambil kredenal database dari Secrets Manager, buat peran IAM dengan kebijakan yang memberikan izin yang diperlukan.

Untuk membuat peran untuk mengakses rahasia Anda untuk digunakan dengan proxy Anda

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Buat kebijakan izin untuk peran tersebut. Untuk langkah umum, lihat Membuat kebijakan IAM (konsol).

    Tempelkan kebijakan ini ke editor JSON dan buat perubahan berikut:

    • Ganti ID akun Anda sendiri.

    • Gantikan us-east-2 dengan Wilayah tempat proxy akan berada.

    • Ganti nama rahasia dengan yang Anda buat. Untuk informasi selengkapnya, lihat Menentukan kunci KMS dalam pernyataan kebijakan IAM.

    • Ganti ID kunci KMS dengan yang Anda gunakan untuk mengenkripsi rahasia Secrets Manager, baik kunci default atau kunci Anda sendiri.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": [
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_1",
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_2"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:us-east-2:account_id:key/key_id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com"
                }
            }
        }
    ]
}

  3. Buat peran dan lampirkan kebijakan izin padanya. Untuk langkah umum, lihat Membuat peran untuk mendelegasikan izin ke layanan. AWS

    Untuk jenis entitas Tepercaya, pilih AWS layanan. Di bawah Kasus penggunaan, pilih RDS dan pilih RDS - Tambahkan Peran ke Database untuk kasus penggunaan.

  4. Untuk kebijakan Izin, pilih kebijakan yang Anda buat.

  5. Untuk Pilih entitas tepercaya, masukkan kebijakan kepercayaan berikut untuk peran tersebut:

    JSON
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "rds.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Untuk membuat peran menggunakan AWS CLI, kirim permintaan berikut:

aws iam create-role \
  --role-name my_role_name \
  --assume-role-policy-document '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"Service":["rds.amazonaws.com"]},"Action":"sts:AssumeRole"}]}'

Kemudian, lampirkan kebijakan ke peran:

aws iam put-role-policy \
  --role-name my_role_name \
  --policy-name secret_reader_policy \
  --policy-document '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": [
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_1",
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_2"
            ]
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:us-east-2:account_id:key/key_id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com"
                }
            }
        }
    ]
}'

Dengan peran dan izin IAM yang dikonfigurasi, Anda sekarang dapat membuat proxy dan mengaitkannya dengan peran ini. Hal ini memungkinkan proxy untuk mengambil kredensi database dengan aman dari AWS Secrets Manager dan mengaktifkan autentikasi IAM untuk aplikasi Anda. Untuk petunjuk, lihat Membuat proxy untuk Amazon RDS .