Creazione della chiave KMS Creazione dei segreti del database Creazione del ruolo IAM Aggiornamento della chiave KMS Aggiunta delle policy di autorizzazione del ruolo IAM

Configurazione manuale dell’autenticazione del database e dell’accesso alle risorse

Il processo manuale per configurare l’autenticazione del database e l’accesso alle risorse prevede i seguenti passaggi:

Creazione della soluzione gestita dal cliente AWS KMS key
Aggiunta delle policy di autorizzazione del ruolo IAM
Creazione dei segreti del database
Creazione del ruolo IAM
Aggiornamento della versione gestita dal cliente AWS KMS key

Questo processo è facoltativo ed esegue le stesse attività descritte in Configurazione dell’autenticazione del database e dell’accesso alle risorse tramite script. Consigliamo di utilizzare lo script.

Creazione della soluzione gestita dal cliente AWS KMS key

Segui le procedure descritte in Creazione di chiavi di crittografia simmetriche per creare una chiave KMS gestita dal cliente. Puoi anche utilizzare una chiave esistente, se soddisfa questi requisiti.

Per creare una chiave KMS gestita dal cliente

Accedi a Console di gestione AWS e apri la AWS KMS console su https://console.aws.amazon.com /kms.
Vai alla pagina Chiavi gestite dal cliente.
Scegli Crea chiave.
Nella pagina Configura chiave:
1. Per Tipo di chiave, seleziona Simmetrica.
2. In Utilizzo delle chiavi, scegli Crittografa e decrittografa.
3. Scegli Next (Successivo).
Nella pagina Aggiungi etichette, inserisci un alias, ad esempio limitless, quindi scegli Successivo.
Nella pagina Definisci le autorizzazioni per gestire la chiave, assicurati che la casella di controllo Consenti agli amministratori delle chiavi di eliminare questa chiave sia selezionata, quindi scegli Successivo.
Nella pagina Definisci le autorizzazioni per utilizzare le chiavi scegli Avanti.
Nella pagina Review (Rivedi), scegliere Finish (Fine).

Aggiornerai la policy della chiave in un secondo momento.

Annota il nome della risorsa Amazon (ARN) della chiave KMS da utilizzare in Aggiunta delle policy di autorizzazione del ruolo IAM.

Per informazioni sull'utilizzo di per AWS CLI creare la chiave KMS gestita dal cliente, consulta create-key e create-alias.

Creazione dei segreti del database

Per consentire all'utilità di caricamento dei dati di accedere alle tabelle del database di origine e di destinazione, è necessario creare due segreti in Gestione dei segreti AWS: uno per il database di origine e uno per il database di destinazione. Questi segreti archiviano i nomi utente e le password per accedere ai database di origine e di destinazione.

Segui le procedure descritte in Creazione di un segreto Gestione dei segreti AWS per creare i segreti della coppia chiave-valore.

Per creare i segreti del database

Apri la console Secrets Manager all'indirizzo https://console.aws.amazon.com/secretsmanager/.
Scegli Archivia un nuovo segreto.
Nella pagina Scegli il tipo di segreto:
1. Per Tipo di segreto, scegli Altro tipo di segreto.
2. Per Coppie chiave/valore, scegli la scheda Testo in chiaro.
3. Inserisci il seguente codice JSON, dove sourcedbreader e sourcedbpassword sono le credenziali dell’utente del database di origine da Creazione delle credenziali del database di origine.
```
{
    "username":"sourcedbreader",
    "password":"sourcedbpassword"
}
```
4. Per Chiave di crittografia, scegli la chiave KMS in cui hai creato Creazione della soluzione gestita dal cliente AWS KMS key, ad esempio limitless.
5. Scegli Next (Successivo).
Nella pagina Configura del segreto, inserisci un nome del segreto, ad esempio source_DB_secret e scegli Successivo.
Nella pagina Configura rotazione – facoltativo, scegli Successivo.
Nella pagina Review (Rivedi), scegli Store (Archivia).
Ripeti la procedura per il segreto del database di destinazione:
1. Inserisci il seguente codice JSON, dove destinationdbwriter e destinationdbpassword sono le credenziali dell’utente del database di destinazione da Creazione delle credenziali del database di destinazione.
```
{
    "username":"destinationdbwriter",
    "password":"destinationdbpassword"
}
```
2. Inserisci un nome del segreto, ad esempio destination_DB_secret.

Registra ARNs i segreti da utilizzareAggiunta delle policy di autorizzazione del ruolo IAM.

Creazione del ruolo IAM

Il caricamento dei dati richiede l'accesso alle AWS risorse. Per fornire l’accesso, crea il ruolo IAM aurora-data-loader seguendo le procedure descritte in Creazione di un ruolo per delegare le autorizzazioni a un utente IAM.

Per creare il ruolo IAM

Accedi Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Vai alla pagina Ruoli.
Scegli Crea ruolo.

Nella pagina Seleziona un’entità attendibile:

Per Tipo di entità attendibile, seleziona Policy di attendibilità personalizzata.

Inserisci il seguente codice JSON per la policy di attendibilità personalizzata:

Scegli Next (Successivo).

Nella pagina Add permissions (Aggiungi autorizzazioni), scegli Next (Successivo).
Nella pagina Nomina, verifica e crea:
1. Per Nome del ruolo, inserisci aurora-data-loader o un altro nome a scelta.
2. Scegli Aggiungi tage inserisci il seguente tag:
  - Chiave: assumer
  - Value (Valore): aurora_limitless_table_data_load
  Importante
  Aurora PostgreSQL Limitless Database può assumere solo un ruolo IAM che contiene questo tag.
3. Scegli Crea ruolo.

Aggiornamento della versione gestita dal cliente AWS KMS key

Segui le procedure descritte in Modifica di una policy della chiave per aggiungere il ruolo IAM aurora-data-loader alla policy della chiave predefinita.

Per aggiungere il ruolo IAM alla policy della chiave

Accedi a Console di gestione AWS e apri la AWS KMS console su https://console.aws.amazon.com /kms.
Vai alla pagina Chiavi gestite dal cliente.
Scegli la chiave KMS che hai creato in Creazione della soluzione gestita dal cliente AWS KMS key, ad esempio limitless.
Nella scheda Policy della chiave, per Utenti delle chiavi, scegli Aggiungi.
Nella finestra Aggiungi utenti chiave, seleziona il nome del ruolo IAM in cui hai creatoCreazione del ruolo IAM, ad esempio. aurora-data-loader
Scegliere Aggiungi.

Aggiunta delle policy di autorizzazione del ruolo IAM

Devi aggiungere policy di autorizzazione del ruolo IAM creato. In questo modo, l’utilità di caricamento dei dati di Aurora PostgreSQL Limitless Database può accedere alle risorse AWS correlate per creare connessioni di rete e recuperare i segreti delle credenziali dei database di origine e di destinazione.

Per ulteriori informazioni, consulta Modifica un ruolo.

Per aggiungere le policy di autorizzazione

Accedi Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Vai alla pagina Ruoli.
Scegli, ad esempioCreazione del ruolo IAM, il ruolo IAM in cui hai creato aurora-data-loader.
Nella scheda Autorizzazioni, per Policy di autorizzazione scegli Aggiungi autorizzazioni, quindi Crea policy inline.
Nella pagina Specifica autorizzazioni, seleziona l’editor JSON.

Copia e incolla il seguente modello nell'editor JSON, sostituendo i segnaposto con i segreti del database e ARNs la chiave KMS.

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "Ec2Permission",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkAcls"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:123456789012:secret:source_DB_secret-ABC123",
                "arn:aws:secretsmanager:us-east-1:123456789012:secret:destination_DB_secret-456DEF"
            ]
        },        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/aa11bb22-####-####-####-fedcba123456"
        },
        {
            "Sid": "RdsPermissions",
            "Effect": "Allow",
            "Action": [
                "rds:DescribeDBClusters",
                "rds:DescribeDBInstances"
            ],
            "Resource": "*"
        }
    ]
}

Verifica la presenza di errori e correggili.
Scegli Next (Successivo).
Nella pagina Rivedi e crea, inserisci un nome della policy ad esempio data_loading_policy, quindi scegli Crea policy.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Configurazione dell’accesso tramite script

Caricamento dei dati in Limitless Database