Creazione della chiave KMS Creazione dei segreti del database Creazione del ruolo IAM Aggiornamento della chiave KMS Aggiungere le politiche di autorizzazione dei IAM ruoli

Configurazione manuale dell'autenticazione del database e dell'accesso alle risorse

Il processo manuale per configurare l'autenticazione del database e l'accesso alle risorse prevede i seguenti passaggi:

Creazione del file gestito dal cliente AWS KMS key
Aggiungere le politiche di autorizzazione dei IAM ruoli
Creazione dei segreti del database
Creazione del ruolo IAM
Aggiornamento del file gestito dal cliente AWS KMS key

Questo processo è facoltativo ed esegue le stesse attività di cui sopraConfigurazione dell'autenticazione del database e dell'accesso alle risorse tramite uno script. Si consiglia di utilizzare lo script.

Creazione del file gestito dal cliente AWS KMS key

Segui le procedure descritte in Creazione di chiavi di crittografia simmetriche per creare una chiave gestita dal clienteKMS. Puoi anche utilizzare una chiave esistente se soddisfa questi requisiti.

Per creare una chiave gestita dal cliente KMS

Accedi a AWS Management Console e apri la AWS KMS console su https://console.aws.amazon.com /kms.
Vai alla pagina delle chiavi gestite dal cliente.
Scegliere Create key (Crea chiave).
Nella pagina Configura chiave:
1. Per Tipo di chiave, seleziona Symmetric.
2. Per Utilizzo della chiave, seleziona Crittografa e decrittografa.
3. Scegli Next (Successivo).
Nella pagina Aggiungi etichette, inserisci un alias comelimitless, quindi scegli Avanti.
Nella pagina Definisci le autorizzazioni amministrative chiave, assicurati che la casella di controllo Consenti agli amministratori chiave di eliminare questa chiave sia selezionata, quindi scegli Avanti.
Nella pagina Definisci le autorizzazioni per utilizzare le chiavi scegli Avanti.
Nella pagina Review (Rivedi), scegliere Finish (Fine).

La politica chiave verrà aggiornata in un secondo momento.

Registra gli Amazon Resource Names (ARN) della KMS chiave da utilizzareAggiungere le politiche di autorizzazione dei IAM ruoli.

Per informazioni sull'utilizzo di per AWS CLI creare la KMS chiave gestita dal cliente, consulta create-key e create-alias.

Creazione dei segreti del database

Per consentire all'utilità di caricamento dei dati di accedere alle tabelle del database di origine e di destinazione, è necessario creare due segreti in AWS Secrets Manager: uno per il database di origine e uno per il database di destinazione. Questi segreti memorizzano i nomi utente e le password per accedere ai database di origine e di destinazione.

Segui le procedure in Creare un AWS Secrets Manager segreto per creare i segreti della coppia chiave-valore.

Per creare i segreti del database

Apri la console Secrets Manager all'indirizzo https://console.aws.amazon.com/secretsmanager/.
Scegli Archivia un nuovo segreto.
Nella pagina Scegli il tipo di segreto:
1. Per Tipo segreto, seleziona Altro tipo di segreto.
2. Per le coppie chiave/valore, scegliete la scheda Testo semplice.
3. Immettete il JSON codice seguente, dove sourcedbreader e sourcedbpassword sono le credenziali dell'utente del database di origine. Crea le credenziali del database di origine
```
{
    "username":"sourcedbreader",
    "password":"sourcedbpassword"
}
```
4. Per Chiave di crittografia, scegli la KMS chiave in cui hai creatoCreazione del file gestito dal cliente AWS KMS key, ad esempiolimitless.
5. Scegli Next (Successivo).
Nella pagina Configura segreto, inserisci un nome segreto, ad esempiosource_DB_secret, quindi scegli Avanti.
Nella pagina Configura rotazione - opzionale, scegli Avanti.
Nella pagina Review (Rivedi), scegli Store (Archivia).
Ripeti la procedura per il segreto del database di destinazione:
1. Immettere il JSON codice seguente, dove destinationdbwriter e destinationdbpassword sono le credenziali dell'utente del database di Crea le credenziali del database di destinazione destinazione.
```
{
    "username":"destinationdbwriter",
    "password":"destinationdbpassword"
}
```
2. Inserisci un nome segreto, ad esempiodestination_DB_secret.

Registra ARNs i segreti da utilizzareAggiungere le politiche di autorizzazione dei IAM ruoli.

Creazione del ruolo IAM

Il caricamento dei dati richiede l'accesso alle AWS risorse. Per fornire l'accesso, è necessario creare il aurora-data-loader IAM ruolo seguendo le procedure riportate in Creazione di un ruolo per delegare le autorizzazioni a un IAM utente.

Per creare il ruolo IAM

Accedi a AWS Management Console e apri la IAM console all'indirizzo. https://console.aws.amazon.com/iam/
Vai alla pagina Ruoli.
Scegliere Crea ruolo.

Nella pagina Seleziona entità attendibile:

Per il tipo di entità affidabile, seleziona Criteri di attendibilità personalizzati.

Inserisci il seguente JSON codice per la politica di fiducia personalizzata:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "rds.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Scegli Next (Successivo).

Nella pagina Add permissions (Aggiungi autorizzazioni), scegli Next (Successivo).
Nella pagina Nome, rivedi e crea:
1. Per il nome del ruolo, inserisci aurora-data-loader o un altro nome che preferisci.
2. Scegli Aggiungi tag e inserisci il seguente tag:
  - Chiave: assumer
  - Value (Valore): aurora_limitless_table_data_load
  Importante
  L'Aurora Postgre SQL Limitless Database può assumere solo un IAM ruolo con questo tag.
3. Scegliere Crea ruolo.

Aggiornamento del file gestito dal cliente AWS KMS key

Segui le procedure in Modifica di una politica chiave per aggiungere il IAM ruolo aurora-data-loader alla politica chiave predefinita.

Per aggiungere il IAM ruolo alla politica chiave

Accedi a AWS Management Console e apri la AWS KMS console su https://console.aws.amazon.com/kms.
Vai alla pagina delle chiavi gestite dal cliente.
Scegli la KMS chiave che hai creatoCreazione del file gestito dal cliente AWS KMS key, ad esempiolimitless.
Nella scheda Politica chiave, per Utenti chiave, scegli Aggiungi.
Nella finestra Aggiungi utenti chiave, seleziona, ad esempioCreazione del ruolo IAM, il nome del IAM ruolo in cui hai creato aurora-data-loader.
Scegli Aggiungi.

Aggiungere le politiche di autorizzazione dei IAM ruoli

È necessario aggiungere politiche di autorizzazione al IAM ruolo creato. Ciò consente all'utilità di caricamento dei dati del database Aurora Postgre SQL Limitless di accedere alle AWS risorse correlate per creare connessioni di rete e recuperare i segreti delle credenziali DB di origine e destinazione.

Per ulteriori informazioni, consulta Modifica un ruolo.

Per aggiungere le politiche di autorizzazione

Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.
Vai alla pagina Ruoli.
Scegli, ad esempioCreazione del ruolo IAM, il IAM ruolo in cui hai creato aurora-data-loader.
Nella scheda Autorizzazioni, per Politiche di autorizzazione scegli Aggiungi autorizzazioni, quindi Crea politica in linea.
Nella pagina Specificare le autorizzazioni, scegli l'editor. JSON

Copia e incolla il seguente modello nell'JSONeditor, sostituendo i segnaposto con i segreti e ARNs la chiave del tuo database. KMS


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Ec2Permission",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkAcls"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:123456789012:secret:source_DB_secret-ABC123",
                "arn:aws:secretsmanager:us-east-1:123456789012:secret:destination_DB_secret-456DEF"
            ]
        },        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/aa11bb22-####-####-####-fedcba123456"
        },
        {
            "Sid": "RdsPermissions",
            "Effect": "Allow",
            "Action": [
                "rds:DescribeDBClusters",
                "rds:DescribeDBInstances"
            ],
            "Resource": "*"
        }
    ]
}

Verifica la presenza di errori e correggili.
Scegli Next (Successivo).
Nella pagina Rivedi e crea, inserisci il nome di una politicadata_loading_policy, ad esempio, quindi scegli Crea politica.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configurazione dell'accesso tramite uno script

Caricamento dei dati in Limitless Database