Prerequisiti Creazione di una policy IAM per l'accesso a Secrets Manager

Configurazione dell'autenticazione IAM per RDS Proxy

Per configurare l'autenticazione AWS Identity and Access Management (IAM) per RDS Proxy in Amazon RDS, crea e configura una policy IAM che conceda le autorizzazioni necessarie. Il proxy RDS consente di AWS Secrets Manager gestire le credenziali del database in modo sicuro, il che consente alle applicazioni di autenticarsi tramite il proxy senza gestire direttamente le credenziali.

Questo argomento fornisce i passaggi per configurare l'autenticazione IAM per RDS Proxy, inclusa la creazione della policy IAM richiesta e il suo collegamento a un ruolo IAM.

Suggerimento

Questa procedura è necessaria solo se desideri creare il tuo ruolo IAM. Altrimenti, RDS può creare automaticamente il ruolo richiesto quando configuri il proxy, quindi puoi saltare questi passaggi.

Prerequisiti

Prima di configurare l'autenticazione IAM per RDS Proxy, assicurati di disporre di quanto segue:

AWS Secrets Manager— Almeno un segreto archiviato che contiene le credenziali del database. Per istruzioni su come creare segreti, vedereConfigurazione delle credenziali del database in AWS Secrets Manager RDS Proxy.
Autorizzazioni IAM: ruolo o utente IAM con autorizzazioni per creare e gestire policy, ruoli e segreti IAM. AWS Secrets Manager

Creazione di una policy IAM per l'accesso a Secrets Manager

Per consentire a RDS Proxy di recuperare le credenziali del database da Secrets Manager, crea un ruolo IAM con una policy che conceda le autorizzazioni necessarie.

Per creare un ruolo per accedere ai tuoi segreti da utilizzare con il tuo proxy

Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

Crea una politica di autorizzazioni per il ruolo. Per i passaggi generali, consulta Creare politiche IAM (console).

Incolla questa policy nell'editor JSON e apporta le seguenti modifiche:

Sostituire l'ID account.
Sostituiscilo us-east-2 con la regione in cui risiederà il proxy.
Sostituisci i nomi segreti con quelli che hai creato. Per ulteriori informazioni, consulta Specificare le chiavi KMS nelle dichiarazioni politiche IAM.
Sostituisci l'ID della chiave KMS con quello che hai usato per crittografare i segreti di Secrets Manager, la chiave predefinita o la tua chiave.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": [
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_1",
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_2"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:us-east-2:account_id:key/key_id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com"
                }
            }
        }
    ]
}

Crea il ruolo e allega la politica delle autorizzazioni. Per i passaggi generali, consulta Creare un ruolo per delegare le autorizzazioni a un servizio. AWS

Per il tipo di entità affidabile, scegli AWS servizio. In Caso d'uso, seleziona RDS e scegli RDS - Aggiungi ruolo al database per il caso d'uso.
Per le politiche di autorizzazione, scegli la politica che hai creato.

Per Seleziona entità attendibili, inserisci la seguente politica di fiducia per il ruolo:


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "rds.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Per creare il ruolo utilizzando il AWS CLI, invia la seguente richiesta:


aws iam create-role \
  --role-name my_role_name \
  --assume-role-policy-document '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"Service":["rds.amazonaws.com"]},"Action":"sts:AssumeRole"}]}'

Quindi, allega la policy al ruolo:


aws iam put-role-policy \
  --role-name my_role_name \
  --policy-name secret_reader_policy \
  --policy-document '{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": [
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_1",
                "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_2"
            ]
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": "kms:Decrypt",
            "Resource": "arn:aws:kms:us-east-2:account_id:key/key_id",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com"
                }
            }
        }
    ]
}'

Con il ruolo e le autorizzazioni IAM configurati, ora puoi creare un proxy e associarlo a questo ruolo. Ciò consente al proxy di recuperare le credenziali del database in modo sicuro AWS Secrets Manager e di abilitare l'autenticazione IAM per le tue applicazioni. Per istruzioni, consultare Creazione di un proxy per Amazon RDS .

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Impostazione delle credenziali del database

Creazione di un proxy