Gestione delle password con Amazon RDS e AWS Secrets Manager - Amazon Relational Database Service
LimitazioniPanoramicaVantaggiAutorizzazioni necessarie per l'integrazione di Secrets ManagerImplementazione della gestione da parte di RDSGestione della password dell'utente master per un'istanza databaseGestione della password dell'utente principale per un database tenantGestione della password dell'utente master per un cluster database multi-AZRotazione del segreto della password dell'utente master per un'istanza databaseRotazione del segreto della password dell'utente master per un cluster database multi-AZVisualizzazione dei dettagli di un segreto per un'istanza databaseVisualizzazione dei dettagli di un segreto per un cluster database multi-AZVisualizzazione dei dettagli su un segreto per un database tenantDisponibilità di regioni e versioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione delle password con Amazon RDS e AWS Secrets Manager

Amazon RDS si integra con Secrets Manager per gestire le password degli utenti master per le istanze database e i cluster database multi-AZ.

Limitazioni per l'integrazione di Secrets Manager con Amazon RDS

La gestione delle password degli utenti master con Secrets Manager non è supportata per le seguenti funzionalità:

  • Creazione di una replica di lettura quando il DB o il cluster DB di origine gestisce le credenziali con Secrets Manager. Questo vale per tutti i motori DB tranne RDS per SQL Server.

  • Implementazioni blu/verde di Amazon RDS

  • Amazon RDS Custom

  • Switchover Oracle Data Guard

Panoramica della gestione delle password degli utenti principali con AWS Secrets Manager

Con AWS Secrets Manager, puoi sostituire le credenziali codificate nel codice, incluse le password del database, con una chiamata API a Secrets Manager per recuperare il segreto a livello di codice. Per ulteriori informazioni su Secrets Manager, consultare la Guida per l'utente di AWS Secrets Manager.

Quando memorizzi i segreti del database in Secrets Manager, ti vengono Account AWS addebitati dei costi. Per informazioni sui prezzi, consulta Prezzi di AWS Secrets Manager.

Puoi specificare che RDS gestisca la password dell'utente master in Secrets Manager per un'istanza database Amazon RDS o un cluster database multi-AZ quando esegui una delle seguenti operazioni:

  • Creare un'Istanza database.

  • Crea un cluster DB Multi-AZ

  • Crea un database tenant in un CDB RDS per Oracle

  • Modificare un'istanza database

  • Modifica un cluster DB Multi-AZ

  • Modifica un database tenant (solo RDS per Oracle)

  • Ripristina un'istanza DB da Amazon S3

  • Ripristina un'istanza DB da uno snapshot o da un point-in-time (solo RDS per Oracle)

Quando specifichi che RDS gestisce la password dell'utente master in Secrets Manager, RDS genera la password e la memorizza in Secrets Manager. Puoi interagire direttamente con il segreto per recuperare le credenziali dell'utente master. Puoi anche specificare una chiave gestita dal cliente per crittografare il segreto o utilizzare la chiave KMS fornita da Secrets Manager.

RDS gestisce le impostazioni del segreto e lo ruota ogni sette giorni per impostazione predefinita. È possibile modificare alcune impostazioni, ad esempio il programma di rotazione. Se si elimina un'istanza database che gestisce un segreto in Secrets Manager, vengono eliminati anche il segreto e i metadati associati.

Per connetterti a un'istanza database o a un cluster database multi-AZ con le credenziali in un segreto, puoi recuperare il segreto da Secrets Manager. Per ulteriori informazioni, consulta Recupera segreti da AWS Secrets Manager e Connettiti a un database SQL con credenziali in un AWS Secrets Manager segreto nella Guida per l'AWS Secrets Manager utente.

Vantaggi della gestione delle password degli utenti master con Secrets Manager

La gestione delle password degli utenti master RDS con Secrets Manager offre i seguenti vantaggi:

  • RDS genera automaticamente le credenziali del database.

  • RDS archivia e gestisce automaticamente le credenziali del database in. AWS Secrets Manager

  • RDS ruota regolarmente le credenziali del database, senza richiedere modifiche all'applicazione.

  • Secrets Manager protegge le credenziali del database dall'accesso umano e dalla visualizzazione in testo normale.

  • Secrets Manager consente il recupero delle credenziali del database nei segreti per le connessioni al database.

  • Secrets Manager consente un controllo dettagliato dell'accesso alle credenziali del database nei segreti utilizzando IAM.

  • Facoltativamente, puoi separare la crittografia del database dalla crittografia delle credenziali con chiavi KMS diverse.

  • Puoi eliminare la gestione manuale e la rotazione delle credenziali del database.

  • Puoi monitorare facilmente le credenziali del database con AWS CloudTrail Amazon CloudWatch.

Per ulteriori informazioni sui vantaggi di Secrets Manager, consulta la Guida per l'utente di AWS Secrets Manager.

Autorizzazioni necessarie per l'integrazione di Secrets Manager

Gli utenti devono disporre delle autorizzazioni necessarie per eseguire le operazioni relative all'integrazione di Secrets Manager. Puoi creare le policy IAM che concedono l'autorizzazione per eseguire operazioni API specifiche sulle risorse indicate necessarie. Puoi quindi collegare tali policy ai ruoli o ai set di autorizzazioni IAM che richiedono le autorizzazioni. Per ulteriori informazioni, consulta Gestione delle identità e degli accessi per Amazon RDS.

Per le operazioni di creazione, modifica o ripristino, l'utente che specifica che Amazon RDS gestisce la password dell'utente master in Secrets Manager deve disporre delle autorizzazioni per eseguire le seguenti operazioni:

  • kms:DescribeKey

  • secretsmanager:CreateSecret

  • secretsmanager:TagResource

L'kms:DescribeKeyautorizzazione è necessaria per accedere alla chiave gestita dal cliente MasterUserSecretKmsKeyId e per descriverla. aws/secretsmanager

Per le operazioni di creazione, modifica o ripristino, l'utente che specifica la chiave gestita dal cliente per crittografare il segreto in Secrets Manager deve disporre delle autorizzazioni per eseguire le seguenti operazioni:

  • kms:Decrypt

  • kms:GenerateDataKey

  • kms:CreateGrant

Per le operazioni di modifica, l'utente che ruota la password dell'utente master in Secrets Manager deve disporre delle autorizzazioni per eseguire la seguente operazione:

  • secretsmanager:RotateSecret

Applicazione della gestione RDS della password dell'utente principale in AWS Secrets Manager

È possibile utilizzare le chiavi di condizione IAM per implementare la gestione da parte di RDS della password dell'utente master in AWS Secrets Manager. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": ["rds:CreateDBInstance", "rds:CreateDBCluster", "rds:RestoreDBInstanceFromS3", "rds:RestoreDBClusterFromS3",
                       "rds:RestoreDBInstanceFromDBSnapshot", "rds:RestoreDBInstanceToPointInTime", "rds:CreateTenantDatabase",
                       "rds:ModifyTenantDatabase"],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "rds:ManageMasterUserPassword": false
                }
            }
        }
    ]
}
Nota

Questa politica applica la gestione delle password al momento della creazione. AWS Secrets Manager Tuttavia, puoi comunque disabilitare l'integrazione di Secrets Manager e impostare manualmente una password master modificando l'istanza.

Per evitare questa procedura, includi rds:ModifyDBInstance, rds:ModifyDBCluster nel blocco operazione della policy. Tieni presente che in tal modo impedisci all'utente di applicare ulteriori modifiche alle istanze esistenti in cui non è abilitata l'integrazione di Secrets Manager.

Per ulteriori informazioni sull'utilizzo delle chiavi di condizione nelle policy IAM, consulta Chiavi relative alle condizioni delle politiche per Amazon RDS e Policy di esempio: Utilizzo di chiavi di condizione.

Gestione della password dell'utente master per un'istanza database con Secrets Manager

È possibile configurare la gestione RDS della password dell'utente master in Secrets Manager eseguendo le seguenti operazioni:

È possibile eseguire le operazioni precedenti utilizzando la console RDS AWS CLI, o l'API RDS.

Segui le istruzioni per creare o modificare un'istanza database con la console RDS:

Quando usi la console RDS per eseguire una di queste operazioni, è possibile specificare che la password dell'utente master sia gestita da RDS in Secrets Manager. Quando crei o ripristini un'istanza DB, seleziona Gestisci le credenziali principali nelle impostazioni delle credenziali. AWS Secrets Manager Quando modifichi un'istanza DB, seleziona Gestisci le credenziali principali in Impostazioni. AWS Secrets Manager

L'immagine seguente è un esempio di impostazione Manage master credentials in AWS Secrets Manager (Gestione credenziali master in AWS Secrets Manager) durante la creazione o il ripristino di un'istanza database.

Gestisci le credenziali principali in AWS Secrets Manager

Quando selezioni questa opzione, RDS genera la password dell'utente master e la gestisce per tutto il suo ciclo di vita in Secrets Manager.

Gestisci le credenziali principali in modalità selezionata AWS Secrets Manager

Puoi scegliere di crittografare il segreto con una chiave KMS fornita da Secrets Manager o con una chiave gestita dal cliente creata da te. Dopo che RDS ha gestito le credenziali del database per un'istanza DB, non è possibile modificare la chiave KMS utilizzata per crittografare il segreto.

Puoi scegliere altre impostazioni per soddisfare le tue esigenze. Per ulteriori informazioni sulle impostazioni disponibili durante la creazione di un'istanza DB, consulta. Impostazioni per istanze database Per ulteriori informazioni sulle impostazioni disponibili quando modifichi un'istanza DB, consultaImpostazioni per istanze database.

Per gestire la password dell'utente principale con RDS in Secrets Manager, specificare l'--manage-master-user-passwordopzione in uno dei seguenti AWS CLI comandi:

Quando si specifica l'opzione --manage-master-user-password in questi comandi, RDS genera la password dell'utente master e la gestisce per tutto il suo ciclo di vita in Secrets Manager.

Per crittografare il segreto, è possibile specificare una chiave gestita dal cliente o utilizzare la chiave KMS predefinita fornita da Secrets Manager. Per specificare la chiave gestita dal cliente usa l'opzione --master-user-secret-kms-key-id. L'identificatore della chiave AWS KMS è l'ARN della chiave, l'ID chiave, l'alias ARN o il nome alias per la chiave KMS. Per utilizzare una chiave KMS in un'altra chiave Account AWS, specifica la chiave ARN o l'alias ARN. Dopo che RDS gestisce le credenziali del database per un'istanza database, non puoi modificare la chiave KMS utilizzata per crittografare il segreto.

Puoi scegliere altre impostazioni per soddisfare le tue esigenze. Per ulteriori informazioni sulle impostazioni disponibili per la creazione di un'istanza database, consulta Impostazioni per istanze database. Per ulteriori informazioni sulle impostazioni disponibili per la modifica di un'istanza database, consulta Impostazioni per istanze database.

L'esempio seguente crea un'istanza DB e specifica che RDS gestisce la password dell'utente principale in Secrets Manager. Il segreto viene crittografato utilizzando la chiave KMS fornita da Secrets Manager.

PerLinux, o: macOS Unix

aws rds create-db-instance \
    --db-instance-identifier mydbinstance \
    --engine mysql \
    --engine-version 8.0.39 \
    --db-instance-class db.r5b.large \
    --allocated-storage 200 \
    --master-username testUser \
    --manage-master-user-password

Per Windows:

aws rds create-db-instance ^
    --db-instance-identifier mydbinstance ^
    --engine mysql ^
    --engine-version 8.0.39 ^
    --db-instance-class db.r5b.large ^
    --allocated-storage 200 ^
    --master-username testUser ^
    --manage-master-user-password

Per specificare che RDS gestisce la password dell'utente master in Secrets Manager, imposta il parametro ManageMasterUserPassword su true in una delle seguenti operazioni API RDS:

Quando imposti il parametro ManageMasterUserPassword su true in una di queste operazioni, RDS genera la password dell'utente master e la gestisce per tutto il suo ciclo di vita in Secrets Manager.

Per crittografare il segreto, è possibile specificare una chiave gestita dal cliente o utilizzare la chiave KMS predefinita fornita da Secrets Manager. Per specificare la chiave gestita dal cliente usa il parametro MasterUserSecretKmsKeyId. L'identificatore della chiave AWS KMS è l'ARN della chiave, l'ID chiave, l'alias ARN o il nome alias per la chiave KMS. Per usate una chiave KMS in un Account AWS diverso, specifica l'ARN della chiave o dell'alias. Dopo che RDS gestisce le credenziali del database per un'istanza database, non puoi modificare la chiave KMS utilizzata per crittografare il segreto.

Gestione della password dell'utente principale per un database tenant RDS for Oracle con Secrets Manager

È possibile configurare la gestione RDS della password dell'utente master in Secrets Manager eseguendo le seguenti operazioni:

È possibile utilizzare la console RDS AWS CLI, o l'API RDS per eseguire le azioni precedenti.

Segui le istruzioni per creare o modificare un database tenant RDS for Oracle con la console RDS:

Quando si utilizza la console RDS per eseguire una delle operazioni precedenti, è possibile specificare che RDS gestisca la password principale in Secrets Manager. Quando crei un database tenant, seleziona Gestisci le credenziali principali nelle impostazioni delle credenziali. AWS Secrets Manager Quando modifichi un database tenant, seleziona Gestisci le credenziali principali in Impostazioni. AWS Secrets Manager

L'immagine seguente è un esempio dell' AWS Secrets Manager impostazione Gestisci le credenziali master quando si crea un database tenant.

Gestisci le credenziali principali in AWS Secrets Manager

Quando selezioni questa opzione, RDS genera la password dell'utente master e la gestisce per tutto il suo ciclo di vita in Secrets Manager.

Gestisci le credenziali principali in modalità selezionata AWS Secrets Manager

Puoi scegliere di crittografare il segreto con una chiave KMS fornita da Secrets Manager o con una chiave gestita dal cliente creata da te. Dopo che RDS ha gestito le credenziali del database per un database tenant, non è possibile modificare la chiave KMS utilizzata per crittografare il segreto.

Puoi scegliere altre impostazioni per soddisfare le tue esigenze. Per ulteriori informazioni sulle impostazioni disponibili durante la creazione di un database tenant, consulta. Impostazioni per istanze database Per ulteriori informazioni sulle impostazioni disponibili quando si modifica un database tenant, vedere. Impostazioni per istanze database

Per gestire la password dell'utente master con RDS in Secrets Manager, specifica l'opzione --manage-master-user-password in uno dei seguenti comandi AWS CLI :

Quando si specifica l'--manage-master-user-passwordopzione nei comandi precedenti, RDS genera la password dell'utente principale e la gestisce per tutto il suo ciclo di vita in Secrets Manager.

Per crittografare il segreto, è possibile specificare una chiave gestita dal cliente o utilizzare la chiave KMS predefinita fornita da Secrets Manager. Per specificare la chiave gestita dal cliente usa l'opzione --master-user-secret-kms-key-id. L'identificatore della chiave AWS KMS è l'ARN della chiave, l'ID chiave, l'alias ARN o il nome alias per la chiave KMS. Per utilizzare una chiave KMS in un'altra chiave Account AWS, specifica la chiave ARN o l'alias ARN. Dopo che RDS ha gestito le credenziali del database per un database tenant, non è possibile modificare la chiave KMS utilizzata per crittografare il segreto.

Puoi scegliere altre impostazioni per soddisfare le tue esigenze. Per ulteriori informazioni sulle impostazioni disponibili durante la creazione di un database tenant, consulta. create-tenant-database Per ulteriori informazioni sulle impostazioni disponibili quando si modifica un database tenant, vedere. modify-tenant-database

L'esempio seguente crea un database tenant RDS per Oracle e specifica che RDS gestisce la password dell'utente principale in Secrets Manager. Il segreto viene crittografato utilizzando la chiave KMS fornita da Secrets Manager.

PerLinux, o: macOS Unix

aws rds create-tenant-database --region us-east-1 \
    --db-instance-identifier my-cdb-inst \
    --tenant-db-name mypdb2 \
    --master-username mypdb2-admin \
    --character-set-name UTF-16 \
    --manage-master-user-password

Per Windows:

aws rds create-tenant-database --region us-east-1 ^
    --db-instance-identifier my-cdb-inst ^
    --tenant-db-name mypdb2 ^
    --master-username mypdb2-admin ^
    --character-set-name UTF-16 ^
    --manage-master-user-password

Per specificare che RDS gestisce la password dell'utente master in Secrets Manager, imposta il parametro ManageMasterUserPassword su true in una delle seguenti operazioni API RDS:

Quando imposti il parametro ManageMasterUserPassword su true in una di queste operazioni, RDS genera la password dell'utente master e la gestisce per tutto il suo ciclo di vita in Secrets Manager.

Per crittografare il segreto, è possibile specificare una chiave gestita dal cliente o utilizzare la chiave KMS predefinita fornita da Secrets Manager. Per specificare la chiave gestita dal cliente usa il parametro MasterUserSecretKmsKeyId. L'identificativo della chiave AWS KMS è l'ARN della chiave, l'ID chiave, l'ARN dell'alias o il nome dell'alias per la chiave KMS. Per utilizzare una chiave KMS in un'altra chiave Account AWS, specifica la chiave ARN o l'alias ARN. Dopo che RDS ha gestito le credenziali del database per un database tenant, non è possibile modificare la chiave KMS utilizzata per crittografare il segreto.

Gestione della password dell'utente master per un cluster database multi-AZ con Secrets Manager

È possibile configurare la gestione RDS della password dell'utente master in Secrets Manager eseguendo le seguenti operazioni:

È possibile utilizzare la console RDS AWS CLI, o l'API RDS per eseguire queste azioni.

Segui le istruzioni per creare o modificare un cluster database multi-AZ con la console RDS:

Quando usi la console RDS per eseguire una di queste operazioni, è possibile specificare che la password dell'utente master sia gestita da RDS in Secrets Manager. A tale scopo durante la creazione di un cluster database, seleziona Manage master credentials in AWS Secrets Manager (Gestione credenziali master in AWS Secrets Manager) in Credential settings (Impostazioni credenziali). Quando modifichi un cluster database, seleziona Manage master credentials in AWS Secrets Manager (Gestione credenziali master in AWS Secrets Manager) in Settings (Impostazioni).

L'immagine seguente è un esempio di impostazione Manage master credentials in AWS Secrets Manager (Gestione credenziali master in AWS Secrets Manager) durante la creazione di un cluster database.

Gestisci le credenziali principali in AWS Secrets Manager

Quando selezioni questa opzione, RDS genera la password dell'utente master e la gestisce per tutto il suo ciclo di vita in Secrets Manager.

Gestisci le credenziali principali in modalità selezionata AWS Secrets Manager

Puoi scegliere di crittografare il segreto con una chiave KMS fornita da Secrets Manager o con una chiave gestita dal cliente creata da te. Dopo che RDS gestisce le credenziali del database per un cluster database, non puoi modificare la chiave KMS utilizzata per crittografare il segreto.

Puoi scegliere altre impostazioni per soddisfare le tue esigenze.

Per ulteriori informazioni sulle impostazioni disponibili per la creazione di un cluster database multi-AZ, consulta Impostazioni per la creazione di cluster di database Multi-AZ. Per ulteriori informazioni sulle impostazioni disponibili per la modifica di un cluster database multi-AZ, consulta Impostazioni per la creazione di cluster di database Multi-AZ.

Per specificare che RDS gestisce la password dell'utente master in Secrets Manager, imposta l'opzione --manage-master-user-password in uno dei seguenti comandi:

Quando si specifica l'opzione --manage-master-user-password in questi comandi, RDS genera la password dell'utente master e la gestisce per tutto il suo ciclo di vita in Secrets Manager.

Per crittografare il segreto, è possibile specificare una chiave gestita dal cliente o utilizzare la chiave KMS predefinita fornita da Secrets Manager. Per specificare la chiave gestita dal cliente usa l'opzione --master-user-secret-kms-key-id. L'identificatore della chiave AWS KMS è l'ARN della chiave, l'ID chiave, l'alias ARN o il nome alias per la chiave KMS. Per utilizzare una chiave KMS in un'altra chiave Account AWS, specifica la chiave ARN o l'alias ARN. Dopo che RDS gestisce le credenziali del database per un cluster database, non puoi modificare la chiave KMS utilizzata per crittografare il segreto.

Puoi scegliere altre impostazioni per soddisfare le tue esigenze.

Per ulteriori informazioni sulle impostazioni disponibili per la creazione di un cluster database multi-AZ, consulta Impostazioni per la creazione di cluster di database Multi-AZ. Per ulteriori informazioni sulle impostazioni disponibili per la modifica di un cluster database multi-AZ, consulta Impostazioni per la creazione di cluster di database Multi-AZ.

Questo esempio crea un cluster database multi-AZ e specifica che RDS gestisce la password in Secrets Manager. Il segreto viene crittografato utilizzando la chiave KMS fornita da Secrets Manager.

PerLinux, o: macOS Unix

aws rds create-db-cluster \
   --db-cluster-identifier mysql-multi-az-db-cluster \
   --engine mysql \
   --engine-version 8.0.39  \
   --backup-retention-period 1  \
   --allocated-storage 4000 \
   --storage-type io1 \
   --iops 10000 \
   --db-cluster-instance-class db.r6gd.xlarge \
   --master-username testUser \
   --manage-master-user-password

Per Windows:

aws rds create-db-cluster ^
   --db-cluster-identifier mysql-multi-az-db-cluster ^
   --engine mysql ^
   --engine-version 8.0.39 ^
   --backup-retention-period 1 ^
   --allocated-storage 4000 ^
   --storage-type io1 ^
   --iops 10000 ^
   --db-cluster-instance-class db.r6gd.xlarge ^
   --master-username testUser ^
   --manage-master-user-password

Per specificare che RDS gestisce la password dell'utente master in Secrets Manager, imposta il parametro ManageMasterUserPassword su true in una delle seguenti operazioni:

Quando imposti il parametro ManageMasterUserPassword su true in una di queste operazioni, RDS genera la password dell'utente master e la gestisce per tutto il suo ciclo di vita in Secrets Manager.

Per crittografare il segreto, è possibile specificare una chiave gestita dal cliente o utilizzare la chiave KMS predefinita fornita da Secrets Manager. Per specificare la chiave gestita dal cliente usa il parametro MasterUserSecretKmsKeyId. L'identificatore della chiave AWS KMS è l'ARN della chiave, l'ID chiave, l'alias ARN o il nome alias per la chiave KMS. Per usate una chiave KMS in un Account AWS diverso, specifica l'ARN della chiave o dell'alias. Dopo che RDS gestisce le credenziali del database per un cluster database, non puoi modificare la chiave KMS utilizzata per crittografare il segreto.

Rotazione del segreto della password dell'utente master per un'istanza database

Quando RDS ruota il segreto della password di un utente master, Secrets Manager genera una nuova versione del segreto esistente. La nuova versione del segreto contiene la nuova password dell'utente master. Amazon RDS modifica la password dell'utente master per l'istanza database in modo che corrisponda alla password per la nuova versione del segreto.

Puoi ruotare un segreto immediatamente invece di aspettare la rotazione programmata. Per ruotare il segreto della password dell'utente master in Secrets Manager, modifica l'istanza database. Per ulteriori informazioni sulla modifica di un'istanza database, consulta Modifica di un'istanza Amazon RDS DB.

È possibile ruotare immediatamente la password segreta di un utente principale con la console RDS, l'API RDS o l'API RDS. AWS CLI La nuova password è sempre lunga 28 caratteri e contiene almeno un carattere maiuscolo e minuscolo, un numero e una punteggiatura.

Per ruotare il segreto della password dell'utente master utilizzando la console RDS, modifica l'istanza database e seleziona Rotate secret immediately (Ruota il segreto immediatamente) in Settings (Impostazioni).

Rotazione immediata del segreto della password dell'utente master

Per modificare un'istanza database con la console RDS segui le istruzioni presenti in Modifica di un'istanza Amazon RDS DB. È necessario scegliere Apply immediately (Applica immediatamente) nella pagina di conferma.

Per ruotare una password utente principale segreta utilizzando il AWS CLI, usa il modify-db-instancecomando e specifica l'opzione. --rotate-master-user-password È necessario specificare l'opzione --apply-immediately quando si ruota la password master.

Questo esempio ruota il segreto della password dell'utente master.

Per LinuxmacOS, oUnix:

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --rotate-master-user-password \
    --apply-immediately

Per Windows:

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --rotate-master-user-password ^
    --apply-immediately

È possibile ruotare la password segreta di un utente principale utilizzando l'DBInstanceoperazione Modifica e impostando il RotateMasterUserPassword parametro sutrue. È necessario impostare il parametro ApplyImmediately su true quando si ruota la password master.

Rotazione del segreto della password dell'utente master per un cluster database multi-AZ

Quando RDS ruota il segreto della password di un utente master, Secrets Manager genera una nuova versione del segreto esistente. La nuova versione del segreto contiene la nuova password dell'utente master. Amazon RDS modifica la password dell'utente master per il cluster database multi-AZ in modo che corrisponda alla password per la nuova versione del segreto.

Puoi ruotare un segreto immediatamente invece di aspettare la rotazione programmata. Per ruotare il segreto della password dell'utente master in Secrets Manager, modifica il cluster database multi-AZ. Per informazioni sulla modifica di un cluster database multi-AZ, consulta Modifica di un cluster DB Multi-AZ per Amazon RDS.

È possibile ruotare immediatamente una password utente principale segreta con la console RDS AWS CLI, l'o l'API RDS. La nuova password è sempre lunga 28 caratteri e contiene almeno un carattere maiuscolo e minuscolo, un numero e una punteggiatura.

Per ruotare il segreto della password dell'utente master utilizzando la console RDS, modifica il cluster database multi-AZ e seleziona Rotate secret immediately (Ruota il segreto immediatamente) in Settings (Impostazioni).

Rotazione immediata del segreto della password dell'utente master

Per modificare un cluster database multi-AZ con la console RDS segui le istruzioni presenti in Modifica di un cluster DB Multi-AZ per Amazon RDS. È necessario scegliere Apply immediately (Applica immediatamente) nella pagina di conferma.

Per ruotare una password utente principale segreta utilizzando il AWS CLI, usa il comando e specifica l'modify-db-clusteropzione. --rotate-master-user-password È necessario specificare l'opzione --apply-immediately quando si ruota la password master.

Questo esempio ruota il segreto della password dell'utente master.

Per LinuxmacOS, oUnix:

aws rds modify-db-cluster \
    --db-cluster-identifier mydbcluster \
    --rotate-master-user-password \
    --apply-immediately

Per Windows:

aws rds modify-db-cluster ^
    --db-cluster-identifier mydbcluster ^
    --rotate-master-user-password ^
    --apply-immediately

È possibile ruotare la password segreta di un utente principale utilizzando l'DBClusteroperazione Modifica e impostando il RotateMasterUserPassword parametro sutrue. È necessario impostare il parametro ApplyImmediately su true quando si ruota la password master.

Visualizzazione dei dettagli di un segreto per un'istanza database

Puoi recuperare i tuoi segreti usando la console (https://console.aws.amazon.com/secretsmanager/) o il comando AWS CLI (get-secret-valueSecrets Manager).

Puoi trovare l'Amazon Resource Name (ARN) di un segreto gestito da RDS in Secrets Manager con la console RDS AWS CLI, o l'API RDS.

Per visualizzare i dettagli di un segreto gestito da RDS in Secrets Manager

  1. Accedi a AWS Management Console e apri la console Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/.

  2. Nel riquadro di navigazione, scegliere Databases (Database).

  3. Scegliere il nome dell'istanza database per visualizzarne i dettagli.

  4. Scegli la scheda Configurazione.

    In Master Credentials ARN (ARN credenziali master), puoi visualizzare l'ARN del segreto.

    Visualizza i dettagli di un segreto gestito da RDS in Secrets Manager

    Puoi selezionare il collegamento Manage in Secrets Manager (Gestisci in Secrets Manager) per visualizzare e gestire il segreto nella console di Secrets Manager.

È possibile utilizzare il comando describe-db-instancesRDS CLI per trovare le seguenti informazioni su un segreto gestito da RDS in Secrets Manager:

  • SecretArn: l'ARN del segreto

  • SecretStatus: lo stato del segreto

    I valori possibili per lo stato sono:

    • creating: il segreto è in fase di creazione.

    • active: il segreto è disponibile per l'uso normale e la rotazione.

    • rotating: il segreto è in fase di rotazione.

    • impaired: il segreto può essere utilizzato per accedere alle credenziali del database, ma non può essere ruotato. Un segreto può avere questo stato se, ad esempio, le autorizzazioni vengono modificate in modo che RDS non può più accedere al segreto o alla chiave KMS del segreto.

      Quando un segreto ha questo stato, puoi correggere la condizione che lo ha causato. Se correggi la condizione che ha causato lo stato, lo stato rimane impaired fino alla rotazione successiva. In alternativa, è possibile modificare l'istanza database per disattivare la gestione automatica delle credenziali del database e quindi modificare nuovamente l'istanza database per attivare la gestione automatica delle credenziali del database. Per modificare l'istanza DB, utilizzate l'--manage-master-user-passwordopzione nel comando. modify-db-instance

  • KmsKeyId: l'ARN della chiave KMS utilizzata per crittografare il segreto

Specifica l'opzione --db-instance-identifier per mostrare l'output per un'istanza database specifica. Questo esempio mostra l'output di un segreto utilizzato da un'istanza database.

aws rds describe-db-instances --db-instance-identifier mydbinstance

Di seguito è illustrato l'output di esempio di un segreto:

"MasterUserSecret": {
                "SecretArn": "arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx",
                "SecretStatus": "active",
                "KmsKeyId": "arn:aws:kms:eu-west-1:123456789012:key/0987dcba-09fe-87dc-65ba-ab0987654321"
            }

Quando si dispone dell'ARN segreto, è possibile visualizzare i dettagli sul segreto utilizzando il comando get-secret-valueSecrets Manager CLI.

Questo esempio mostra i dettagli del segreto nell'output di esempio precedente.

PerLinux, omacOS: Unix

aws secretsmanager get-secret-value \
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

Per Windows:

aws secretsmanager get-secret-value ^
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

È possibile visualizzare l'ARN, lo status e la chiave KMS per un segreto gestito da RDS in Secrets Manager utilizzando l'DBInstancesoperazione Descrivi e impostando il DBInstanceIdentifier parametro su un identificatore di istanza DB. I dettagli del segreto sono inclusi nell'output.

Quando si dispone dell'ARN segreto, è possibile visualizzare i dettagli sul segreto utilizzando l'operazione GetSecretValueSecrets Manager.

Visualizzazione dei dettagli di un segreto per un cluster database multi-AZ

Puoi recuperare i tuoi segreti usando la console (https://console.aws.amazon.com/secretsmanager/) o il comando AWS CLI (get-secret-valueSecrets Manager).

Puoi trovare l'Amazon Resource Name (ARN) di un segreto gestito da RDS in Secrets Manager con la console RDS AWS CLI, o l'API RDS.

Per visualizzare i dettagli di un segreto gestito da RDS in Secrets Manager

  1. Accedi a AWS Management Console e apri la console Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/.

  2. Nel riquadro di navigazione, scegliere Databases (Database).

  3. Scegli il nome del cluster database multi-AZ per visualizzarne i dettagli.

  4. Scegli la scheda Configurazione.

    In Master Credentials ARN (ARN credenziali master), puoi visualizzare l'ARN del segreto.

    Visualizza i dettagli di un segreto gestito da RDS in Secrets Manager

    Puoi selezionare il collegamento Manage in Secrets Manager (Gestisci in Secrets Manager) per visualizzare e gestire il segreto nella console di Secrets Manager.

È possibile utilizzare il AWS CLI describe-db-clusterscomando RDS per trovare le seguenti informazioni su un segreto gestito da RDS Aurora Manager:

  • SecretArn: l'ARN del segreto

  • SecretStatus: lo stato del segreto

    I valori possibili per lo stato sono:

    • creating: il segreto è in fase di creazione.

    • active: il segreto è disponibile per l'uso normale e la rotazione.

    • rotating: il segreto è in fase di rotazione.

    • impaired: il segreto può essere utilizzato per accedere alle credenziali del database, ma non può essere ruotato. Un segreto può avere questo stato se, ad esempio, le autorizzazioni vengono modificate in modo che RDS non può più accedere al segreto o alla chiave KMS del segreto.

      Quando un segreto ha questo stato, puoi correggere la condizione che lo ha causato. Se correggi la condizione che ha causato lo stato, lo stato rimane impaired fino alla rotazione successiva. In alternativa, è possibile modificare il cluster database per disattivare la gestione automatica delle credenziali del database e quindi modificare nuovamente il cluster database per attivare la gestione automatica delle credenziali del database. Per modificare il cluster DB, utilizzare l'--manage-master-user-passwordopzione nel comando. modify-db-cluster

  • KmsKeyId: l'ARN della chiave KMS utilizzata per crittografare il segreto

Specifica l'opzione --db-cluster-identifier per mostrare l'output per un cluster database specifico. Questo esempio mostra l'output di un segreto utilizzato da un cluster database.

aws rds describe-db-clusters --db-cluster-identifier mydbcluster

L'esempio seguente mostra l'output di un segreto:

"MasterUserSecret": {
                "SecretArn": "arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx",
                "SecretStatus": "active",
                "KmsKeyId": "arn:aws:kms:eu-west-1:123456789012:key/0987dcba-09fe-87dc-65ba-ab0987654321"
            }

Quando si dispone dell'ARN segreto, è possibile visualizzare i dettagli sul segreto utilizzando il comando get-secret-valueSecrets Manager CLI.

Questo esempio mostra i dettagli del segreto nell'output di esempio precedente.

PerLinux, omacOS: Unix

aws secretsmanager get-secret-value \
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

Per Windows:

aws secretsmanager get-secret-value ^
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

È possibile visualizzare l'ARN, lo stato e la chiave KMS per un segreto gestito da RDS Aurora Secrets Manager utilizzando l'operazione DBClusters Descrivi RDS e DBClusterIdentifier impostando il parametro su un identificatore di cluster DB. I dettagli del segreto sono inclusi nell'output.

Quando si dispone dell'ARN segreto, è possibile visualizzare i dettagli sul segreto utilizzando l'operazione GetSecretValueSecrets Manager.

Visualizzazione dei dettagli su un segreto per un database tenant

Puoi recuperare i tuoi segreti usando la console (https://console.aws.amazon.com/secretsmanager/) o il comando AWS CLI (get-secret-valueSecrets Manager).

Puoi trovare l'Amazon Resource Name (ARN) di un segreto gestito da Amazon RDS con AWS Secrets Manager la console Amazon RDS, AWS CLI o l'API Amazon RDS.

Per visualizzare i dettagli su un segreto gestito da Amazon RDS AWS Secrets Manager per un database tenant

  1. Accedi a AWS Management Console e apri la console Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/.

  2. Nel riquadro di navigazione, scegliere Databases (Database).

  3. Scegli il nome dell'istanza DB che contiene il database tenant per mostrarne i dettagli.

  4. Scegli la scheda Configurazione.

    Nella sezione Database tenant, trova il database tenant e visualizza il relativo ARN delle credenziali principali.

    Puoi selezionare il collegamento Manage in Secrets Manager (Gestisci in Secrets Manager) per visualizzare e gestire il segreto nella console di Secrets Manager.

Puoi utilizzare il AWS CLI comando describe-tenant-databasesAmazon RDS per trovare le seguenti informazioni su un segreto gestito da Amazon RDS AWS Secrets Manager per un database tenant:

  • SecretArn: l'ARN del segreto

  • SecretStatus: lo stato del segreto

    I valori possibili per lo stato sono:

    • creating: il segreto è in fase di creazione.

    • active: il segreto è disponibile per l'uso normale e la rotazione.

    • rotating: il segreto è in fase di rotazione.

    • impaired: il segreto può essere utilizzato per accedere alle credenziali del database, ma non può essere ruotato. Un segreto potrebbe avere questo stato se, ad esempio, le autorizzazioni vengono modificate in modo che Amazon RDS non possa più accedere al segreto o alla chiave KMS per il segreto.

      Quando un segreto ha questo stato, puoi correggere la condizione che lo ha causato. Se correggi la condizione che ha causato lo stato, lo stato rimane impaired fino alla rotazione successiva. In alternativa, è possibile modificare il database tenant per disattivare la gestione automatica delle credenziali del database e quindi modificare nuovamente il database tenant per attivare la gestione automatica delle credenziali del database. Per modificare il database tenant, utilizzare l'opzione nel comando. --manage-master-user-password modify-tenant-database

  • KmsKeyId: l'ARN della chiave KMS utilizzata per crittografare il segreto

Specificate l'--db-instance-identifieropzione per mostrare l'output per i database tenant in un'istanza DB specifica. È inoltre possibile specificare l'--tenant-db-nameopzione per mostrare l'output per un database tenant specifico. Questo esempio mostra l'output di un segreto utilizzato da un database tenant.

aws rds describe-tenant-databases \
    --db-instance-identifier database-3 \
    --query "TenantDatabases[0].MasterUserSecret"

Di seguito è illustrato l'output di esempio di un segreto:

{
    "SecretArn": "arn:aws:secretsmanager:us-east-2:123456789012:secret:rds!db-ABC123",
    "SecretStatus": "active",
    "KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/aa11bb22-####-####-####-fedcba123456"
}

Quando si dispone dell'ARN segreto, è possibile visualizzare i dettagli sul segreto utilizzando il comando get-secret-valueSecrets Manager AWS CLI .

Questo esempio mostra i dettagli del segreto nell'output di esempio precedente.

Per LinuxmacOS, oUnix:

aws secretsmanager get-secret-value \
    --secret-id 'arn:aws:secretsmanager:us-east-2:123456789012:secret:rds!db-ABC123'

Per Windows:

aws secretsmanager get-secret-value ^
    --secret-id 'arn:aws:secretsmanager:us-east-2:123456789012:secret:rds!db-ABC123'

Puoi visualizzare l'ARN, lo stato e la chiave KMS per un segreto gestito da Amazon RDS utilizzando l'DescribeTenantDatabasesoperazione e AWS Secrets Manager impostando il DBInstanceIdentifier parametro su un identificatore di istanza DB. Puoi anche impostare il TenantDBName parametro su un nome di database tenant specifico. I dettagli del segreto sono inclusi nell'output.

Quando si dispone dell'ARN segreto, è possibile visualizzare i dettagli sul segreto utilizzando l'operazione GetSecretValueSecrets Manager.

Disponibilità di regioni e versioni

Il supporto varia a seconda delle versioni specifiche di ciascun motore di database e a seconda delle Regioni AWS. Per ulteriori informazioni sulla disponibilità di versioni e regioni con l'integrazione di Secrets Manager con Amazon RDS, consulta Regioni e motori DB supportati per l'integrazione di Secrets Manager con Amazon RDS.