Manajemen kata sandi dengan Amazon RDS Aurora dan AWS Secrets Manager - Layanan Basis Data Relasional Amazon
Batasan:Gambaran UmumManfaatIzin yang diperlukan untuk integrasi Secrets ManagerMenerapkan manajemen RDS Mengelola kata sandi pengguna utama untuk instans DBMengelola kata sandi pengguna utama untuk database penyewaMengelola kata sandi pengguna utama untuk klaster DB Multi-AZMerotasi rahasia kata sandi pengguna utama untuk instans DBMerotasi rahasia kata sandi pengguna utama untuk klaster DB Multi-AZMelihat detail tentang rahasia untuk instans DBMelihat detail tentang rahasia untuk klaster DB Multi-AZMelihat detail tentang rahasia untuk database penyewaWilayah dan ketersediaan versi

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Manajemen kata sandi dengan Amazon RDS Aurora dan AWS Secrets Manager

Amazon RDS terintegrasi dengan Secrets Manager untuk mengelola kata sandi pengguna utama untuk klaster instans DB dan DB Multi-AZ.

Batasan untuk integrasi Secrets Manager dengan Amazon RDS

Mengelola kata sandi pengguna utama dengan Secrets Manager tidak didukung untuk fitur berikut:

  • Membuat replika baca saat cluster DB atau DB sumber mengelola kredensil dengan Secrets Manager. Ini berlaku untuk semua mesin DB kecuali RDS untuk SQL Server.

  • Deployment Blue/Green Amazon RDS

  • Amazon RDS Custom

  • Switchover Oracle Data Guard

Ikhtisar mengelola kata sandi pengguna master dengan AWS Secrets Manager

Dengan AWS Secrets Manager, Anda dapat mengganti kredensi hard-code dalam kode Anda, termasuk kata sandi database, dengan panggilan API ke Secrets Manager untuk mengambil rahasia secara terprogram. Untuk informasi selengkapnya tentang Secrets Manager, lihat Panduan Pengguna AWS Secrets Manager.

Ketika Anda menyimpan rahasia database di Secrets Manager, Anda akan Akun AWS dikenakan biaya. Untuk informasi tentang harga, lihat AWS Secrets Manager Harga.

Anda dapat menentukan bahwa RDS mengelola kata sandi pengguna utama di Secrets Manager untuk instans DB Amazon RDS atau klaster DB Multi-AZ saat Anda melakukan salah satu operasi berikut:

  • Membuat instans DB

  • Buat cluster DB Multi-AZ

  • Buat database penyewa dalam RDS untuk Oracle CDB

  • Ubah instans basis data

  • Memodifikasi cluster DB Multi-AZ

  • Memodifikasi database penyewa (RDS hanya untuk Oracle)

  • Memulihkan instans DB dari Amazon S3

  • Kembalikan instance DB dari snapshot atau ke titik waktu (RDS hanya untuk Oracle)

Saat Anda menentukan bahwa RDS mengelola kata sandi pengguna utama di Secrets Manager, RDS menghasilkan kata sandi dan menyimpannya dalam Secrets Manager. Anda dapat berinteraksi langsung dengan rahasia untuk mengambil kredensial untuk pengguna utama. Anda juga dapat menentukan kunci yang dikelola pelanggan untuk mengenkripsi rahasia, atau menggunakan kunci KMS default yang disediakan oleh Secrets Manager.

Secara default, RDS mengelola pengaturan untuk rahasia dan merotasi rahasia setiap tujuh hari. Anda dapat mengubah beberapa pengaturan, seperti jadwal rotasi. Jika Anda menghapus instans DB yang mengelola rahasia di Secrets Manager, rahasia dan metadata terkaitnya juga akan dihapus.

Untuk terhubung ke klaster instans atau DB Multi-AZ DB dengan kredensial dalam rahasia, Anda dapat mengambil rahasia dari Secrets Manager. Untuk informasi selengkapnya, lihat Mengambil rahasia dari AWS Secrets Manager dan Connect ke database SQL dengan kredensi dalam AWS Secrets Manager rahasia di Panduan Pengguna.AWS Secrets Manager

Manfaat mengelola kata sandi pengguna utama dengan Secrets Manager

Mengelola kata sandi pengguna utama RDS dengan Secrets Manager memberikan manfaat berikut:

  • RDS secara otomatis menghasilkan kredensial basis data.

  • RDS secara otomatis menyimpan dan mengelola kredensi database di. AWS Secrets Manager

  • RDS merotasi kredensial basis data secara teratur, tanpa mewajibkan perubahan aplikasi.

  • Secrets Manager mengamankan kredensial basis data dari akses manusia dan tampilan teks biasa.

  • Secrets Manager memungkinkan pengambilan kredensial basis data rahasia untuk koneksi basis data.

  • Secrets Manager memungkinkan kontrol akses terperinci ke kredensial basis data dalam rahasia menggunakan IAM.

  • Secara opsional, Anda dapat memisahkan enkripsi basis data dari enkripsi kredensial dengan kunci KMS lainnya.

  • Anda dapat menghilangkan rotasi dan manajemen manual kredensial basis data.

  • Anda dapat memantau kredensi database dengan mudah dengan dan AWS CloudTrail Amazon. CloudWatch

Untuk informasi selengkapnya tentang manfaat Secrets Manager, lihat Panduan Pengguna AWS Secrets Manager.

Izin yang diperlukan untuk integrasi Secrets Manager

Pengguna harus memiliki izin yang diperlukan untuk melakukan operasi yang terkait dengan integrasi Secrets Manager. Anda dapat membuat kebijakan IAM yang memberikan izin untuk melakukan operasi API tertentu pada sumber daya spesifik yang diperlukan. Kemudian, Anda dapat melampirkan kebijakan tersebut ke peran atau kumpulan izin IAM yang memerlukan izin tersebut. Untuk informasi selengkapnya, lihat Manajemen identitas dan akses untuk Amazon RDS Amazon.

Untuk membuat, memodifikasi, atau memulihkan operasi, pengguna yang menentukan bahwa Amazon RDS mengelola kata sandi pengguna utama di Secrets Manager harus memiliki izin untuk melakukan operasi berikut:

  • kms:DescribeKey

  • secretsmanager:CreateSecret

  • secretsmanager:TagResource

kms:DescribeKeyIzin diperlukan untuk mengakses kunci yang dikelola pelanggan Anda untuk MasterUserSecretKmsKeyId dan untuk menjelaskan. aws/secretsmanager

Untuk membuat, memodifikasi, atau memulihkan operasi, pengguna yang menentukan kunci yang dikelola pelanggan untuk mengenkripsi rahasia dalam Secrets Manager harus memiliki izin untuk melakukan operasi berikut:

  • kms:Decrypt

  • kms:GenerateDataKey

  • kms:CreateGrant

Untuk mengubah operasi, pengguna yang merotasi kata sandi pengguna utama dalam Secrets Manager harus memiliki izin untuk melakukan operasi berikut:

  • secretsmanager:RotateSecret

Menegakkan manajemen RDS Aurora sandi pengguna utama di AWS Secrets Manager

Anda dapat menggunakan kunci kondisi IAM untuk menerapkan manajemen RDS kata sandi pengguna utama di AWS Secrets Manager. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": ["rds:CreateDBInstance", "rds:CreateDBCluster", "rds:RestoreDBInstanceFromS3", "rds:RestoreDBClusterFromS3",
                       "rds:RestoreDBInstanceFromDBSnapshot", "rds:RestoreDBInstanceToPointInTime", "rds:CreateTenantDatabase",
                       "rds:ModifyTenantDatabase"],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "rds:ManageMasterUserPassword": false
                }
            }
        }
    ]
}
catatan

Kebijakan ini memberlakukan manajemen kata sandi pada AWS Secrets Manager saat pembuatan. Namun, Anda masih dapat menonaktifkan integrasi Secrets Manager dan mengatur kata sandi utama secara manual dengan mengubah instans.

Untuk mencegahnya, sertakan rds:ModifyDBInstance, rds:ModifyDBCluster dalam blok tindakan kebijakan. Perhatikan bahwa tindakan ini akan mencegah pengguna menerapkan perubahan lebih lanjut pada instans yang ada yang Secrets Manager-nya tidak diaktifkan.

Untuk informasi lebih lanjut tentang penggunaan kunci kondisi dalam kebijakan IAM, lihat Kunci kondisi kebijakan untuk Amazon RDS dan Contoh Kebijakan: Menggunakan kunci kondisi.

Mengelola kata sandi pengguna utama untuk instans DB dengan Secrets Manager

Anda dapat mengonfigurasi manajemen RDS kata sandi pengguna utama di Secrets Manager saat Anda melakukan tindakan berikut:

Anda dapat melakukan operasi sebelumnya menggunakan konsol RDS, API AWS CLI, atau RDS.

Ikuti petunjuk untuk membuat atau mengubah instans DB dengan konsol RDS:

Saat menggunakan konsol RDS untuk melakukan salah satu operasi ini, Anda dapat menentukan bahwa kata sandi pengguna utama dikelola oleh RDS di Secrets Manager. Saat Anda membuat atau memulihkan instans DB, pilih Kelola kredenal master di AWS Secrets Manager dalam pengaturan Kredenal. Saat Anda memodifikasi instans DB, pilih Kelola kredenal master di AWS Secrets Manager Pengaturan.

Gambar berikut adalah contoh pengaturan Kelola kredensial utama di AWS Secrets Manager saat Anda membuat atau memulihkan instans DB.

Kelola kredensi master di AWS Secrets Manager

Saat Anda memilih opsi ini, RDS akan menghasilkan kata sandi pengguna utama dan mengelolanya sepanjang siklus pemakaiannya di Secrets Manager.

Mengelola kredensi master dalam pilihan AWS Secrets Manager

Anda dapat memilih untuk mengenkripsi rahasia dengan kunci KMS yang disediakan Secrets Manager atau dengan kunci yang dikelola pelanggan yang Anda buat. Setelah RDS mengelola kredensi database untuk instance DB, Anda tidak dapat mengubah kunci KMS yang digunakan untuk mengenkripsi rahasia.

Anda dapat memilih pengaturan lain untuk memenuhi kebutuhan Anda. Untuk informasi selengkapnya tentang pengaturan yang tersedia saat Anda membuat instans DB, lihatPengaturan untuk instans DB. Untuk informasi selengkapnya tentang pengaturan yang tersedia saat Anda memodifikasi instans DB, lihatPengaturan untuk instans DB.

Untuk mengelola kata sandi pengguna master dengan RDS di Secrets Manager, tentukan --manage-master-user-password opsi di salah satu AWS CLI perintah berikut:

Jika Anda memilih opsi --manage-master-user-password dalam perintah ini, RDS akan menghasilkan kata sandi pengguna utama dan mengelolanya sepanjang siklus pemakaiannya di Secrets Manager.

Untuk mengenkripsi rahasia, Anda dapat menentukan kunci yang dikelola pelanggan atau menggunakan kunci KMS default yang disediakan oleh Secrets Manager. Gunakan opsi --master-user-secret-kms-key-id untuk menentukan kunci yang dikelola pelanggan. Pengidentifikasi kunci AWS KMS adalah kunci ARN, ID kunci, alias ARN, atau nama alias untuk kunci KMS. Untuk menggunakan kunci KMS yang berbeda Akun AWS, tentukan kunci ARN atau alias ARN. Setelah RDS mengelola kredensial basis data untuk instans DB, Anda tidak dapat mengubah kunci KMS yang digunakan untuk mengenkripsi rahasia.

Anda dapat memilih pengaturan lain untuk memenuhi kebutuhan Anda. Untuk informasi selengkapnya tentang pengaturan yang tersedia saat Anda membuat instans DB, lihat Pengaturan untuk instans DB. Untuk informasi selengkapnya tentang pengaturan yang tersedia saat Anda mengubah instans DB, lihat Pengaturan untuk instans DB.

Contoh berikut membuat instance DB dan menentukan bahwa RDS mengelola kata sandi pengguna master di Secrets Manager. Rahasianya dienkripsi menggunakan kunci KMS yang disediakan oleh Secrets Manager.

Untuk Linux, macOS, atau Unix:

aws rds create-db-instance \
    --db-instance-identifier mydbinstance \
    --engine mysql \
    --engine-version 8.0.39 \
    --db-instance-class db.r5b.large \
    --allocated-storage 200 \
    --master-username testUser \
    --manage-master-user-password

Untuk Windows:

aws rds create-db-instance ^
    --db-instance-identifier mydbinstance ^
    --engine mysql ^
    --engine-version 8.0.39 ^
    --db-instance-class db.r5b.large ^
    --allocated-storage 200 ^
    --master-username testUser ^
    --manage-master-user-password

Untuk menentukan bahwa RDS mengelola kata sandi pengguna utama di Secrets Manager, atur parameter ManageMasterUserPassword ke true di salah satu operasi RDS API berikut:

Jika Anda mengatur parameter ManageMasterUserPassword ke true di salah satu operasi ini, RDS akan menghasilkan kata sandi pengguna utama dan mengelolanya sepanjang siklus pemakaiannya di Secrets Manager.

Untuk mengenkripsi rahasia, Anda dapat menentukan kunci yang dikelola pelanggan atau menggunakan kunci KMS default yang disediakan oleh Secrets Manager. Gunakan parameter MasterUserSecretKmsKeyId untuk menentukan kunci yang dikelola pelanggan. Pengidentifikasi kunci AWS KMS adalah kunci ARN, ID kunci, alias ARN, atau nama alias untuk kunci KMS. Untuk menggunakan kunci KMS di Akun AWS yang berbeda, tentukan ARN kunci atau ARN alias. Setelah RDS mengelola kredensial basis data untuk instans DB, Anda tidak dapat mengubah kunci KMS yang digunakan untuk mengenkripsi rahasia.

Mengelola kata sandi pengguna utama untuk RDS untuk database penyewa Oracle dengan Secrets Manager

Anda dapat mengonfigurasi manajemen RDS kata sandi pengguna utama di Secrets Manager saat Anda melakukan tindakan berikut:

Anda dapat menggunakan konsol RDS, API AWS CLI, atau RDS untuk melakukan tindakan sebelumnya.

Ikuti petunjuk untuk membuat atau memodifikasi database penyewa RDS untuk Oracle dengan konsol RDS:

Saat Anda menggunakan konsol RDS untuk melakukan salah satu operasi sebelumnya, Anda dapat menentukan bahwa RDS mengelola kata sandi utama di Secrets Manager. Saat Anda membuat database penyewa, pilih Kelola kredenal master di AWS Secrets Manager dalam pengaturan Kredenal. Saat Anda memodifikasi database penyewa, pilih Kelola kredenal master di AWS Secrets Manager Pengaturan.

Gambar berikut adalah contoh dari Manage master credentials dalam AWS Secrets Manager pengaturan ketika Anda membuat database penyewa.

Kelola kredensi master di AWS Secrets Manager

Saat Anda memilih opsi ini, RDS akan menghasilkan kata sandi pengguna utama dan mengelolanya sepanjang siklus pemakaiannya di Secrets Manager.

Mengelola kredensi master dalam pilihan AWS Secrets Manager

Anda dapat memilih untuk mengenkripsi rahasia dengan kunci KMS yang disediakan Secrets Manager atau dengan kunci yang dikelola pelanggan yang Anda buat. Setelah RDS mengelola kredensi database untuk database penyewa, Anda tidak dapat mengubah kunci KMS yang digunakan untuk mengenkripsi rahasia.

Anda dapat memilih pengaturan lain untuk memenuhi kebutuhan Anda. Untuk informasi selengkapnya tentang pengaturan yang tersedia saat Anda membuat database penyewa, lihatPengaturan untuk instans DB. Untuk informasi selengkapnya tentang pengaturan yang tersedia saat Anda memodifikasi database penyewa, lihat. Pengaturan untuk instans DB

Untuk mengelola kata sandi pengguna utama dengan RDS di Secrets Manager, tentukan opsi --manage-master-user-password di salah satu perintah AWS CLI berikut:

Saat Anda menentukan --manage-master-user-password opsi dalam perintah sebelumnya, RDS menghasilkan kata sandi pengguna utama dan mengelolanya sepanjang siklus hidupnya di Secrets Manager.

Untuk mengenkripsi rahasia, Anda dapat menentukan kunci yang dikelola pelanggan atau menggunakan kunci KMS default yang disediakan oleh Secrets Manager. Gunakan opsi --master-user-secret-kms-key-id untuk menentukan kunci yang dikelola pelanggan. Pengidentifikasi kunci AWS KMS adalah kunci ARN, ID kunci, alias ARN, atau nama alias untuk kunci KMS. Untuk menggunakan kunci KMS yang berbeda Akun AWS, tentukan kunci ARN atau alias ARN. Setelah RDS mengelola kredensi database untuk database penyewa, Anda tidak dapat mengubah kunci KMS yang digunakan untuk mengenkripsi rahasia.

Anda dapat memilih pengaturan lain untuk memenuhi kebutuhan Anda. Untuk informasi selengkapnya tentang pengaturan yang tersedia saat Anda membuat database penyewa, lihat create-tenant-database. Untuk informasi selengkapnya tentang pengaturan yang tersedia saat Anda memodifikasi database penyewa, lihat. modify-tenant-database

Contoh berikut membuat RDS untuk database penyewa Oracle dan menentukan bahwa RDS mengelola kata sandi pengguna master di Secrets Manager. Rahasianya dienkripsi menggunakan kunci KMS yang disediakan oleh Secrets Manager.

Untuk Linux, macOS, atau Unix:

aws rds create-tenant-database --region us-east-1 \
    --db-instance-identifier my-cdb-inst \
    --tenant-db-name mypdb2 \
    --master-username mypdb2-admin \
    --character-set-name UTF-16 \
    --manage-master-user-password

Untuk Windows:

aws rds create-tenant-database --region us-east-1 ^
    --db-instance-identifier my-cdb-inst ^
    --tenant-db-name mypdb2 ^
    --master-username mypdb2-admin ^
    --character-set-name UTF-16 ^
    --manage-master-user-password

Untuk menentukan bahwa RDS mengelola kata sandi pengguna utama di Secrets Manager, atur parameter ManageMasterUserPassword ke true di salah satu operasi RDS API berikut:

Jika Anda mengatur parameter ManageMasterUserPassword ke true di salah satu operasi ini, RDS akan menghasilkan kata sandi pengguna utama dan mengelolanya sepanjang siklus pemakaiannya di Secrets Manager.

Untuk mengenkripsi rahasia, Anda dapat menentukan kunci yang dikelola pelanggan atau menggunakan kunci KMS default yang disediakan oleh Secrets Manager. Gunakan parameter MasterUserSecretKmsKeyId untuk menentukan kunci yang dikelola pelanggan. Pengidentifikasi kunci KMS AWS adalah ARN kunci, ID kunci, ARN alias, atau nama alias untuk kunci KMS. Untuk menggunakan kunci KMS yang berbeda Akun AWS, tentukan kunci ARN atau alias ARN. Setelah RDS mengelola kredensi database untuk database penyewa, Anda tidak dapat mengubah kunci KMS yang digunakan untuk mengenkripsi rahasia.

Mengelola kata sandi pengguna utama untuk klaster DB Multi-AZ dengan Secrets Manager

Anda dapat mengonfigurasi manajemen RDS kata sandi pengguna utama di Secrets Manager saat Anda melakukan tindakan berikut:

Anda dapat menggunakan konsol RDS, API AWS CLI, atau RDS untuk melakukan tindakan ini.

Ikuti petunjuk untuk membuat atau mengubah klaster DB Multi-AZ dengan konsol RDS:

Saat menggunakan konsol RDS untuk melakukan salah satu operasi ini, Anda dapat menentukan bahwa kata sandi pengguna utama dikelola oleh RDS di Secrets Manager. Untuk melakukannya saat membuat klaster DB, pilih Kelola kredensial utama di AWS Secrets Manager dalam Pengaturan kredensial. Saat Anda mengubah klaster DB, pilih Kelola kredensial utama di AWS Secrets Manager dalam Pengaturan.

Gambar berikut adalah contoh pengaturan Kelola kredensial utama di AWS Secrets Manager saat Anda membuat klaster DB.

Kelola kredensi master di AWS Secrets Manager

Jika Anda memilih opsi ini, RDS akan menghasilkan kata sandi pengguna utama dan mengelolanya sepanjang siklus pemakaiannya di Secrets Manager.

Mengelola kredensi master dalam pilihan AWS Secrets Manager

Anda dapat memilih untuk mengenkripsi rahasia dengan kunci KMS yang disediakan Secrets Manager atau dengan kunci yang dikelola pelanggan yang Anda buat. Setelah RDS mengelola kredensial basis data untuk klaster DB, Anda tidak dapat mengubah kunci KMS yang digunakan untuk mengenkripsi rahasia.

Anda dapat memilih pengaturan lain untuk memenuhi kebutuhan Anda.

Untuk informasi selengkapnya tentang pengaturan yang tersedia saat Anda membuat klaster DB Multi-AZ, lihat Pengaturan untuk membuat klaster DB Multi-AZ. Untuk informasi selengkapnya tentang pengaturan yang tersedia saat Anda mengubah klaster DB Multi-AZ, lihat Setelan untuk mengubah klaster basis data Multi-AZ.

Untuk menentukan bahwa RDS mengelola kata sandi pengguna utama di Secrets Manager, tentukan opsi --manage-master-user-password di salah satu perintah berikut:

Jika Anda menentukan opsi --manage-master-user-password dalam perintah ini, RDS akan menghasilkan kata sandi pengguna utama dan mengelolanya sepanjang siklus pemakaiannya di Secrets Manager.

Untuk mengenkripsi rahasia, Anda dapat menentukan kunci yang dikelola pelanggan atau menggunakan kunci KMS default yang disediakan oleh Secrets Manager. Gunakan opsi --master-user-secret-kms-key-id untuk menentukan kunci yang dikelola pelanggan. Pengidentifikasi kunci AWS KMS adalah kunci ARN, ID kunci, alias ARN, atau nama alias untuk kunci KMS. Untuk menggunakan kunci KMS yang berbeda Akun AWS, tentukan kunci ARN atau alias ARN. Setelah RDS mengelola kredensial basis data untuk klaster DB, Anda tidak dapat mengubah kunci KMS yang digunakan untuk mengenkripsi rahasia.

Anda dapat memilih pengaturan lain untuk memenuhi kebutuhan Anda.

Untuk informasi selengkapnya tentang pengaturan yang tersedia saat Anda membuat klaster DB Multi-AZ, lihat Pengaturan untuk membuat klaster DB Multi-AZ. Untuk informasi selengkapnya tentang pengaturan yang tersedia saat Anda mengubah klaster DB Multi-AZ, lihat Setelan untuk mengubah klaster basis data Multi-AZ.

Contoh ini membuat klaster DB Multi-AZ dan menentukan bahwa RDS mengelola kata sandi di Secrets Manager. Rahasianya dienkripsi menggunakan kunci KMS yang disediakan oleh Secrets Manager.

Untuk Linux, macOS, atau Unix:

aws rds create-db-cluster \
   --db-cluster-identifier mysql-multi-az-db-cluster \
   --engine mysql \
   --engine-version 8.0.39  \
   --backup-retention-period 1  \
   --allocated-storage 4000 \
   --storage-type io1 \
   --iops 10000 \
   --db-cluster-instance-class db.r6gd.xlarge \
   --master-username testUser \
   --manage-master-user-password

Untuk Windows:

aws rds create-db-cluster ^
   --db-cluster-identifier mysql-multi-az-db-cluster ^
   --engine mysql ^
   --engine-version 8.0.39 ^
   --backup-retention-period 1 ^
   --allocated-storage 4000 ^
   --storage-type io1 ^
   --iops 10000 ^
   --db-cluster-instance-class db.r6gd.xlarge ^
   --master-username testUser ^
   --manage-master-user-password

Untuk menentukan bahwa RDS mengelola kata sandi pengguna utama di Secrets Manager, atur parameter ManageMasterUserPassword ke true di salah satu operasi berikut:

Jika Anda mengatur parameter ManageMasterUserPassword ke true di salah satu operasi ini, RDS akan menghasilkan kata sandi pengguna utama dan mengelolanya sepanjang siklus pemakaiannya di Secrets Manager.

Untuk mengenkripsi rahasia, Anda dapat menentukan kunci yang dikelola pelanggan atau menggunakan kunci KMS default yang disediakan oleh Secrets Manager. Gunakan parameter MasterUserSecretKmsKeyId untuk menentukan kunci yang dikelola pelanggan. Pengidentifikasi kunci AWS KMS adalah kunci ARN, ID kunci, alias ARN, atau nama alias untuk kunci KMS. Untuk menggunakan kunci KMS di Akun AWS yang berbeda, tentukan ARN kunci atau ARN alias. Setelah RDS mengelola kredensial basis data untuk klaster DB, Anda tidak dapat mengubah kunci KMS yang digunakan untuk mengenkripsi rahasia.

Merotasi rahasia kata sandi pengguna utama untuk instans DB

Ketika RDS merotasi rahasia kata sandi pengguna utama, Secrets Manager akan menghasilkan versi rahasia baru untuk rahasia yang sudah ada. Rahasia versi baru berisi kata sandi pengguna utama baru. Amazon RDS mengubah kata sandi pengguna utama untuk instans DB agar sesuai dengan kata sandi versi rahasia baru.

Anda dapat segera merotasi rahasia, alih-alih menunggu rotasi yang dijadwalkan. Untuk merotasi rahasia kata sandi pengguna utama di Secrets Manager, ubah instans DB. Untuk informasi tentang cara mengubah instans DB, lihat Memodifikasi instans Amazon RDS DB.

Anda dapat memutar rahasia kata sandi pengguna master segera dengan konsol RDS, API AWS CLI, atau RDS. Kata sandi baru selalu sepanjang 28 karakter dan berisi setidaknya satu karakter huruf besar dan kecil, satu angka, dan satu tanda baca.

Untuk merotasi rahasia kata sandi pengguna utama menggunakan konsol RDS, ubah instans DB dan pilih Rotasi rahasia secara langsung di Pengaturan.

Merotasi rahasia kata sandi pengguna utama secara langsung

Ikuti petunjuk untuk mengubah instans DB dengan konsol RDS di Memodifikasi instans Amazon RDS DB. Anda harus memilih Terapkan langsung di halaman konfirmasi.

Untuk memutar rahasia kata sandi pengguna master menggunakan AWS CLI, gunakan modify-db-instanceperintah dan tentukan --rotate-master-user-password opsi. Anda harus menentukan opsi --apply-immediately saat merotasi kata sandi utama.

Contoh ini merotasi rahasia kata sandi pengguna utama.

Untuk Linux, macOS, atau Unix:

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --rotate-master-user-password \
    --apply-immediately

Untuk Windows:

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --rotate-master-user-password ^
    --apply-immediately

Anda dapat memutar rahasia kata sandi pengguna master menggunakan DBInstance operasi Modify dan mengatur RotateMasterUserPassword parameter ketrue. Anda harus mengatur parameter ApplyImmediately ke true saat merotasi kata sandi utama.

Merotasi rahasia kata sandi pengguna utama untuk klaster DB Multi-AZ

Ketika RDS merotasi rahasia kata sandi pengguna utama, Secrets Manager akan menghasilkan versi rahasia baru untuk rahasia yang sudah ada. Rahasia versi baru berisi kata sandi pengguna utama baru. Amazon RDS mengubah kata sandi pengguna utama untuk klaster DB Multi-AZ agar sesuai dengan kata sandi versi rahasia baru.

Anda dapat segera merotasi rahasia, alih-alih menunggu rotasi yang dijadwalkan. Untuk merotasi rahasia kata sandi pengguna utama di Secrets Manager, ubah klaster DB Multi-AZ. Untuk informasi tentang cara mengubah klaster DB Multi-AZ, lihat Memodifikasi cluster DB Multi-AZ untuk Amazon RDS.

Anda dapat memutar rahasia kata sandi pengguna master segera dengan konsol RDS, API AWS CLI, atau RDS. Kata sandi baru selalu sepanjang 28 karakter dan berisi setidaknya satu karakter huruf besar dan kecil, satu angka, dan satu tanda baca.

Untuk merotasi rahasia kata sandi pengguna utama menggunakan konsol RDS, ubah klaster DB Multi-AZ dan pilih Rotasi rahasia secara langsung di Pengaturan.

Merotasi rahasia kata sandi pengguna utama secara langsung

Ikuti petunjuk untuk mengubah klaster DB Multi-AZ dengan konsol RDS di Memodifikasi cluster DB Multi-AZ untuk Amazon RDS. Anda harus memilih Terapkan langsung di halaman konfirmasi.

Untuk memutar rahasia kata sandi pengguna master menggunakan AWS CLI, gunakan modify-db-clusterperintah dan tentukan --rotate-master-user-password opsi. Anda harus menentukan opsi --apply-immediately saat merotasi kata sandi utama.

Contoh ini merotasi rahasia kata sandi pengguna utama.

Untuk Linux, macOS, atau Unix:

aws rds modify-db-cluster \
    --db-cluster-identifier mydbcluster \
    --rotate-master-user-password \
    --apply-immediately

Untuk Windows:

aws rds modify-db-cluster ^
    --db-cluster-identifier mydbcluster ^
    --rotate-master-user-password ^
    --apply-immediately

Anda dapat memutar rahasia kata sandi pengguna master menggunakan DBCluster operasi Modify dan mengatur RotateMasterUserPassword parameter ketrue. Anda harus mengatur parameter ApplyImmediately ke true saat merotasi kata sandi utama.

Melihat detail tentang rahasia untuk instans DB

Anda dapat mengambil rahasia Anda menggunakan console (https://console.aws.amazon.com/secretsmanager/) atau perintah AWS CLI (get-secret-valueSecrets Manager).

Anda dapat menemukan Amazon Resource Name (ARN) dari rahasia yang dikelola oleh RDS di Secrets Manager dengan konsol RDS, AWS CLI, atau RDS API.

Untuk melihat detail tentang rahasia yang dikelola oleh RDS di Secrets Manager

  1. Masuk ke AWS Management Console dan buka konsol Amazon RDS di https://console.aws.amazon.com/rds/.

  2. Di panel navigasi, pilih Basis Data.

  3. Pilih nama instans DB untuk menampilkan detailnya.

  4. Pilih tab Konfigurasi.

    Di ARN Kredensial Utama, Anda dapat melihat ARN rahasia.

    Lihat detail tentang rahasia yang dikelola oleh RDS di Secrets Manager

    Anda dapat mengikuti tautan Mengelola di Secrets Manager untuk melihat dan mengelola rahasia di konsol Secrets Manager.

Anda dapat menggunakan perintah describe-db-instancesRDS CLI untuk menemukan informasi berikut tentang rahasia yang dikelola oleh RDS di Secrets Manager:

  • SecretArn – ARN rahasia

  • SecretStatus – Status rahasia

    Kemungkinan nilai statusnya meliputi:

    • creating – Rahasia sedang dibuat.

    • active – Rahasia tersedia untuk penggunaan normal dan rotasi.

    • rotating – Rahasia sedang dirotasi.

    • impaired – Rahasia dapat digunakan untuk mengakses kredensial basis data, tetapi tidak dapat dirotasi. Rahasia mungkin memiliki status ini jika, misalnya, izin diubah sehingga RDS tidak dapat lagi mengakses rahasia atau kunci KMS untuk rahasia tersebut.

      Ketika rahasia memiliki status ini, Anda dapat memperbaiki kondisi yang menyebabkan status tersebut. Jika Anda memperbaiki kondisi yang menyebabkan status, status tersebut tetap impaired hingga rotasi berikutnya. Sebagai alternatif, Anda dapat mengubah instans DB untuk menonaktifkan manajemen otomatis kredensial basis data, dan kemudian mengubah instans DB lagi untuk mengaktifkan manajemen otomatis kredensial basis data. Untuk memodifikasi instans DB, gunakan --manage-master-user-password opsi dalam modify-db-instanceperintah.

  • KmsKeyId – ARN kunci KMS yang digunakan untuk mengenkripsi rahasia

Tentukan --db-instance-identifier opsi untuk menampilkan output untuk instans DB tertentu. Contoh ini menunjukkan output untuk rahasia yang digunakan oleh instans DB.

aws rds describe-db-instances --db-instance-identifier mydbinstance

Berikut ini adalah sampel output untuk rahasia:

"MasterUserSecret": {
                "SecretArn": "arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx",
                "SecretStatus": "active",
                "KmsKeyId": "arn:aws:kms:eu-west-1:123456789012:key/0987dcba-09fe-87dc-65ba-ab0987654321"
            }

Ketika Anda memiliki ARN rahasia, Anda dapat melihat detail tentang rahasia menggunakan perintah get-secret-valueSecrets Manager CLI.

Contoh ini menunjukkan detail untuk rahasia dalam output sampel sebelumnya.

Untuk Linux, macOS, atau Unix:

aws secretsmanager get-secret-value \
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

Untuk Windows:

aws secretsmanager get-secret-value ^
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

Anda dapat melihat kunci ARN, status, dan KMS untuk rahasia yang dikelola oleh RDS di Secrets Manager dengan menggunakan DBInstances operasi Deskripsikan dan mengatur DBInstanceIdentifier parameter ke pengidentifikasi instans DB. Detail tentang rahasia disertakan dalam output.

Ketika Anda memiliki ARN rahasia, Anda dapat melihat detail tentang rahasia menggunakan operasi GetSecretValueSecrets Manager.

Melihat detail tentang rahasia untuk klaster DB Multi-AZ

Anda dapat mengambil rahasia Anda menggunakan console (https://console.aws.amazon.com/secretsmanager/) atau perintah AWS CLI (get-secret-valueSecrets Manager).

Anda dapat menemukan Amazon Resource Name (ARN) dari rahasia yang dikelola oleh RDS di Secrets Manager dengan konsol RDS AWS CLI,, atau RDS API.

Untuk melihat detail tentang rahasia yang dikelola oleh RDS di Secrets Manager

  1. Masuk ke AWS Management Console dan buka konsol Amazon RDS di https://console.aws.amazon.com/rds/.

  2. Di panel navigasi, pilih Basis Data.

  3. Pilih nama klaster DB Multi-AZ untuk menampilkan detailnya.

  4. Pilih tab Konfigurasi.

    Di ARN Kredensial Utama, Anda dapat melihat ARN rahasia.

    Lihat detail tentang rahasia yang dikelola oleh RDS di Secrets Manager

    Anda dapat mengikuti tautan Mengelola di Secrets Manager untuk melihat dan mengelola rahasia di konsol Secrets Manager.

Anda dapat menggunakan AWS CLI describe-db-clustersperintah RDS untuk menemukan informasi berikut tentang rahasia yang dikelola oleh RDS Aurora Manager:

  • SecretArn – ARN rahasia

  • SecretStatus – Status rahasia

    Kemungkinan nilai statusnya meliputi:

    • creating – Rahasia sedang dibuat.

    • active – Rahasia tersedia untuk penggunaan normal dan rotasi.

    • rotating – Rahasia sedang dirotasi.

    • impaired – Rahasia dapat digunakan untuk mengakses kredensial basis data, tetapi tidak dapat dirotasi. Rahasia mungkin memiliki status ini jika, misalnya, izin diubah sehingga RDS tidak dapat lagi mengakses rahasia atau kunci KMS untuk rahasia tersebut.

      Ketika rahasia memiliki status ini, Anda dapat memperbaiki kondisi yang menyebabkan status tersebut. Jika Anda memperbaiki kondisi yang menyebabkan status, status tersebut tetap impaired hingga rotasi berikutnya. Sebagai alternatif, Anda dapat mengubah klaster DB untuk menonaktifkan manajemen otomatis kredensial basis data, dan kemudian mengubah klaster DB lagi untuk mengaktifkan manajemen otomatis kredensial basis data. Untuk memodifikasi cluster DB, gunakan --manage-master-user-password opsi dalam modify-db-clusterperintah.

  • KmsKeyId – ARN kunci KMS yang digunakan untuk mengenkripsi rahasia

Tentukan opsi --db-cluster-identifier untuk menampilkan output untuk klaster DB tertentu. Contoh ini menunjukkan output untuk rahasia yang digunakan oleh klaster DB.

aws rds describe-db-clusters --db-cluster-identifier mydbcluster

Contoh berikut menunjukkan output untuk rahasia:

"MasterUserSecret": {
                "SecretArn": "arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx",
                "SecretStatus": "active",
                "KmsKeyId": "arn:aws:kms:eu-west-1:123456789012:key/0987dcba-09fe-87dc-65ba-ab0987654321"
            }

Ketika Anda memiliki ARN rahasia, Anda dapat melihat detail tentang rahasia menggunakan perintah get-secret-valueSecrets Manager CLI.

Contoh ini menunjukkan detail untuk rahasia dalam output sampel sebelumnya.

Untuk Linux, macOS, atau Unix:

aws secretsmanager get-secret-value \
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

Untuk Windows:

aws secretsmanager get-secret-value ^
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

Anda dapat melihat kunci ARN, status, dan KMS untuk rahasia yang dikelola oleh RDS Aurora Secrets Manager menggunakan operasi DBClusters Deskripsikan RDS dan mengatur DBClusterIdentifier parameter ke pengidentifikasi cluster DB. Detail tentang rahasia disertakan dalam output.

Ketika Anda memiliki ARN rahasia, Anda dapat melihat detail tentang rahasia menggunakan operasi GetSecretValueSecrets Manager.

Melihat detail tentang rahasia untuk database penyewa

Anda dapat mengambil rahasia Anda menggunakan console (https://console.aws.amazon.com/secretsmanager/) atau perintah AWS CLI (get-secret-valueSecrets Manager).

Anda dapat menemukan Nama Sumber Daya Amazon (ARN) dari rahasia yang dikelola oleh Amazon RDS dengan konsol Amazon RDS,, AWS CLI atau Amazon RDS API. AWS Secrets Manager

Untuk melihat detail tentang rahasia yang dikelola oleh Amazon RDS AWS Secrets Manager untuk database penyewa

  1. Masuk ke AWS Management Console dan buka konsol Amazon RDS di https://console.aws.amazon.com/rds/.

  2. Di panel navigasi, pilih Basis data.

  3. Pilih nama instans DB yang berisi database penyewa untuk menampilkan detailnya.

  4. Pilih tab Konfigurasi.

    Di bagian Database penyewa, temukan database penyewa dan lihat ARN Kredensialnya.

    Anda dapat mengikuti tautan Mengelola di Secrets Manager untuk melihat dan mengelola rahasia di konsol Secrets Manager.

Anda dapat menggunakan AWS CLI perintah describe-tenant-databasesAmazon RDS untuk menemukan informasi berikut tentang rahasia yang dikelola oleh Amazon RDS AWS Secrets Manager untuk database penyewa:

  • SecretArn – ARN rahasia

  • SecretStatus – Status rahasia

    Kemungkinan nilai statusnya meliputi:

    • creating – Rahasia sedang dibuat.

    • active – Rahasia tersedia untuk penggunaan normal dan rotasi.

    • rotating – Rahasia sedang dirotasi.

    • impaired – Rahasia dapat digunakan untuk mengakses kredensial basis data, tetapi tidak dapat dirotasi. Rahasia mungkin memiliki status ini jika, misalnya, izin diubah sehingga Amazon RDS tidak dapat lagi mengakses rahasia atau kunci KMS untuk rahasia tersebut.

      Ketika rahasia memiliki status ini, Anda dapat memperbaiki kondisi yang menyebabkan status tersebut. Jika Anda memperbaiki kondisi yang menyebabkan status, status tersebut tetap impaired hingga rotasi berikutnya. Atau, Anda dapat memodifikasi database penyewa untuk mematikan manajemen otomatis kredenal database, dan kemudian memodifikasi database penyewa lagi untuk mengaktifkan manajemen otomatis kredenal database. Untuk memodifikasi database penyewa, gunakan --manage-master-user-password opsi dalam modify-tenant-databaseperintah.

  • KmsKeyId – ARN kunci KMS yang digunakan untuk mengenkripsi rahasia

Tentukan --db-instance-identifier opsi untuk menampilkan output untuk database penyewa dalam instance DB tertentu. Anda juga dapat menentukan --tenant-db-name opsi untuk menampilkan output untuk database penyewa tertentu. Contoh ini menunjukkan output untuk rahasia yang digunakan oleh database penyewa.

aws rds describe-tenant-databases \
    --db-instance-identifier database-3 \
    --query "TenantDatabases[0].MasterUserSecret"

Berikut ini adalah sampel output untuk rahasia:

{
    "SecretArn": "arn:aws:secretsmanager:us-east-2:123456789012:secret:rds!db-ABC123",
    "SecretStatus": "active",
    "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/aa11bb22-####-####-####-fedcba123456"
}

Ketika Anda memiliki ARN rahasia, Anda dapat melihat detail tentang rahasia menggunakan perintah get-secret-valueSecrets Manager AWS CLI .

Contoh ini menunjukkan detail untuk rahasia dalam output sampel sebelumnya.

Untuk Linux, macOS, atau Unix:

aws secretsmanager get-secret-value \
    --secret-id 'arn:aws:secretsmanager:us-east-2:123456789012:secret:rds!db-ABC123'

Untuk Windows:

aws secretsmanager get-secret-value ^
    --secret-id 'arn:aws:secretsmanager:us-east-2:123456789012:secret:rds!db-ABC123'

Anda dapat melihat kunci ARN, status, dan KMS untuk rahasia yang dikelola oleh Amazon RDS dengan menggunakan DescribeTenantDatabasesoperasi dan menyetel DBInstanceIdentifier parameter ke pengenal instans DB. AWS Secrets Manager Anda juga dapat mengatur TenantDBName parameter ke nama database penyewa tertentu. Detail tentang rahasia disertakan dalam output.

Ketika Anda memiliki ARN rahasia, Anda dapat melihat detail tentang rahasia menggunakan operasi GetSecretValueSecrets Manager.

Ketersediaan wilayah dan versi

Ketersediaan dan dukungan fitur bervariasi di seluruh versi spesifik dari setiap mesin basis data dan di seluruh Wilayah AWS. Untuk informasi selengkapnya tentang ketersediaan versi dan Wilayah dengan integrasi Secrets Manager dengan Amazon RDS, lihat Daerah yang Didukung dan engine DB untuk integrasi Secrets Manager dengan Amazon RDS.