Manajemen kata sandi dengan Amazon DocumentDB dan AWS Secrets Manager - Amazon DocumentDB
Batasan untuk integrasi Secrets Manager dengan Amazon DocumentDBIkhtisar mengelola kata sandi pengguna utama dengan AWS Secrets ManagerMenegakkan pengelolaan Amazon DocumentDB dari kata sandi pengguna utama di AWS Secrets ManagerMengelola kata sandi pengguna utama untuk klaster dengan Secrets Manager

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Manajemen kata sandi dengan Amazon DocumentDB dan AWS Secrets Manager

Amazon DocumentDB terintegrasi dengan Secrets Manager untuk mengelola kata sandi pengguna utama untuk cluster Anda.

Batasan untuk integrasi Secrets Manager dengan Amazon DocumentDB

Mengelola kata sandi pengguna utama dengan Secrets Manager tidak didukung untuk fitur berikut:

  • Cluster yang merupakan bagian dari database global Amazon DocumentDB

  • Amazon DocumentDB Replika baca lintas wilayah

Ikhtisar mengelola kata sandi pengguna utama dengan AWS Secrets Manager

Dengan AWS Secrets Manager, Anda dapat mengganti kredensi hard-code dalam kode Anda, termasuk kata sandi database, dengan panggilan API ke Secrets Manager untuk mengambil rahasia secara terprogram. Untuk informasi selengkapnya tentang Secrets Manager, lihat Panduan Pengguna AWS Secrets Manager.

Ketika Anda menyimpan rahasia database di Secrets Manager, AWS akun Anda dikenakan biaya. Untuk informasi lebih lanjut tenngenai harga, lihat harga AWS Secrets Manager.

Anda dapat menentukan bahwa Amazon DocumentDB mengelola kata sandi pengguna utama di Secrets Manager untuk klaster Amazon DocumentDB saat Anda melakukan salah satu operasi berikut:

  • Buat cluster

  • Memodifikasi cluster

Saat Anda menentukan bahwa Amazon DocumentDB mengelola kata sandi pengguna utama di Secrets Manager, Amazon DocumentDB menghasilkan kata sandi dan menyimpannya di Secrets Manager. Anda dapat berinteraksi langsung dengan rahasia untuk mengambil kredensil untuk pengguna utama. Anda juga dapat menentukan kunci yang dikelola pelanggan untuk mengenkripsi rahasia, atau menggunakan kunci KMS default yang disediakan oleh Secrets Manager.

Amazon DocumentDB mengelola pengaturan untuk rahasia dan memutar rahasia setiap tujuh hari secara default. Anda dapat mengubah beberapa pengaturan, seperti jadwal rotasi. Jika Anda menghapus klaster yang mengelola rahasia di Secrets Manager, rahasia dan metadata terkait juga akan dihapus.

Untuk terhubung ke cluster dengan kredensialnya secara rahasia, Anda dapat mengambil rahasia dari Secrets Manager. Untuk informasi selengkapnya, lihat Mendapatkan rahasia dari AWS Secrets Manager dan Connect ke database SQL menggunakan JDBC dengan kredensialnya secara AWS Secrets Manager rahasia di Panduan Pengguna.AWS Secrets Manager

Menegakkan pengelolaan Amazon DocumentDB dari kata sandi pengguna utama di AWS Secrets Manager

Anda dapat menggunakan kunci kondisi IAM untuk menerapkan pengelolaan Amazon DocumentDB dari kata sandi pengguna utama. AWS Secrets Manager Kebijakan berikut tidak mengizinkan pengguna untuk membuat atau memulihkan instance atau cluster kecuali kata sandi pengguna utama dikelola oleh Amazon DocumentDB di Secrets Manager.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "rds:CreateDBCluster"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "rds:ManageMasterUserPassword": false
                }
            }
        }
    ]
}

Mengelola kata sandi pengguna utama untuk klaster dengan Secrets Manager

Anda dapat mengonfigurasi pengelolaan Amazon DocumentDB dari kata sandi pengguna utama di Secrets Manager saat Anda melakukan tindakan berikut:

Anda dapat menggunakan konsol Amazon DocumentDB atau untuk melakukan tindakan AWS CLI ini.