Configurar a autenticação do banco de dados e o acesso a recursos manualmente - Amazon Aurora
Criar a chave do KMSCriar os segredos do banco de dadosCriar o perfil do IAMAtualizar a chave do KMSAdicionar as políticas de permissão do perfil do IAM

Configurar a autenticação do banco de dados e o acesso a recursos manualmente

O processo manual para configurar a autenticação do banco de dados e o acesso aos recursos tem as seguintes etapas:

  1. Criar a AWS KMS key gerenciada pelo cliente

  2. Adicionar as políticas de permissão do perfil do IAM

  3. Criar os segredos do banco de dados

  4. Criar o perfil do IAM

  5. Atualizar a AWS KMS key gerenciada pelo cliente

Esse processo é opcional e executa as mesmas tarefas que em Configurar a autenticação do banco de dados e o acesso a recursos usando um script. Recomendamos usar o script.

Criar a AWS KMS key gerenciada pelo cliente

Siga os procedimentos em Creating symmetric encryption keys para criar uma chave do KMS gerenciada pelo cliente. Também é possível usar uma chave existente se ela atender a estes requisitos.

Como criar uma chave do KMS gerenciada pelo cliente

  1. Faça login no AWS Management Console e abra o console do AWS KMS em https://console.aws.amazon.com/kms.

  2. Navegue até a página Chaves gerenciadas pelo cliente.

  3. Escolha Criar chave.

  4. Na página Configurar chave:

    1. Em Tipo de chave, selecione Simétrico.

    2. Em Uso da chave, selecione Criptografar e descriptografar.

    3. Escolha Próximo.

  5. Na página Adicionar rótulos, insira um Alias, como limitless, e escolha Próximo.

  6. Na página Definir permissões administrativas da chave, verifique se a caixa de seleção Permitir que administradores de chaves excluam esta chave está marcada e escolha Próximo.

  7. Na página Definir permissões de uso da chave, escolha Próximo.

  8. Na página Review (Rever), escolha Finish (Concluir).

    Você atualizará a política de chaves posteriormente.

Registre os nomes do recurso da Amazon (ARN) da chave do KMS a ser utilizada em Adicionar as políticas de permissão do perfil do IAM.

Para obter informações sobre como usar a AWS CLI para criar a chave do KMS gerenciada pelo cliente, consulte create-key e create-alias.

Criar os segredos do banco de dados

Para permitir que o utilitário de carregamento de dados acesse as tabelas do banco de dados de origem e destino, crie dois segredos no AWS Secrets Manager: um para o banco de dados de origem e outro para o banco de dados de destino. Esses segredos armazenam os nomes de usuário e senhas para acessar os bancos de dados de origem e destino.

Siga os procedimentos em Create an AWS Secrets Manager secret para criar os segredos de par de chave/valor.

Como criar os segredos do banco de dados

  1. Abra o console Secrets Manager em https://console.aws.amazon.com/secretsmanager/.

  2. Escolha Armazenar Novo Segredo.

  3. Na página Escolher tipo de segredo:

    1. Em Tipo de segredo, selecione Outro tipo de segredo.

    2. Em Pares de chave/valor, escolha a guia Texto simples.

    3. Insira o código JSON a seguir, onde sourcedbreader e sourcedbpassword são as credenciais do usuário do banco de dados de origem de Criar as credenciais do banco de dados de origem.

      {
    "username":"sourcedbreader",
    "password":"sourcedbpassword"
}

    4. Em Chave de criptografia, escolha a chave do KMS que você criou em Criar a AWS KMS key gerenciada pelo cliente, por exemplo limitless.

    5. Escolha Próximo.

  4. Na página Configurar segredo, insira um Nome do segredo, como source_DB_secret, e escolha Próximo.

  5. Na página Configurar alternância - opcional, escolha Próximo.

  6. Na página Review (Análise), escolha Store (Armazenar).

  7. Repita o procedimento para o segredo do banco de dados de destino:

    1. Insira o código JSON a seguir, onde destinationdbwriter e destinationdbpassword são as credenciais do usuário do banco de dados de destino de Criar as credenciais do banco de dados de destino.

      {
    "username":"destinationdbwriter",
    "password":"destinationdbpassword"
}

    2. Insira um Nome do segredo, como destination_DB_secret.

Registre os ARNs dos segredos a serem usados em Adicionar as políticas de permissão do perfil do IAM.

Criar o perfil do IAM

O carregamento de dados exige que você forneça acesso aos recursos da AWS. Para fornecer acesso, você cria o perfil do IAM aurora-data-loader seguindo os procedimentos descritos em Criar um perfil para delegar permissões a um usuário do IAM.

Para criar perfil do IAM

  1. Faça login no AWS Management Console e abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. Navegue até o página Perfis.

  3. Selecione Criar perfil.

  4. Na página Selecionar entidade confiável:

    1. Em Tipo de entidade confiável, selecione Política de confiança personalizada.

    2. Insira o seguinte código JSON para a política de confiança personalizada:

      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "rds.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    3. Escolha Próximo.

  5. Na página Adicionar permissões, escolha Próximo.

  6. Na página Nomear, revisar e criar:

    1. Em Nome do perfil, insira aurora-data-loader ou outro nome que preferir.

    2. Selecione Adicionar etiqueta e insira a seguinte etiqueta:

      • Chave: assumer

      • Valor: aurora_limitless_table_data_load

      Importante

      O Aurora PostgreSQL Limitless Database só pode assumir um perfil do IAM que tenha essa etiqueta.

    3. Selecione Criar perfil.

Atualizar a AWS KMS key gerenciada pelo cliente

Siga os procedimentos em Changing a key policy para adicionar o perfil do IAM aurora-data-loader à política de chave padrão.

Como adicionar o perfil do IAM à política de chave

  1. Faça login no AWS Management Console e abra o console do AWS KMS em https://console.aws.amazon.com/kms.

  2. Navegue até a página Chaves gerenciadas pelo cliente.

  3. Escolha a chave do KMS que você criou em Criar a AWS KMS key gerenciada pelo cliente, por exemplo limitless.

  4. Na guia Política de chaves, em Usuários de chaves, escolha Adicionar.

  5. Na janela Adicionar usuários de chaves, selecione o nome do perfil do IAM que você criou em Criar o perfil do IAM, por exemplo aurora-data-loader.

  6. Escolha Adicionar.

Adicionar as políticas de permissão do perfil do IAM

É necessário adicionar políticas de permissão ao perfil do IAM que você criou. Isso permite que o utilitário de carregamento de dados do Aurora PostgreSQL Limitless Database acesse os recursos relacionados da AWS para criar conexões de rede e recuperar os segredos das credenciais dos bancos de dados de origem e destino.

Para obter mais informações, consulte Modificar uma função.

Como adicionar as políticas de permissão

  1. Faça login no AWS Management Console e abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. Navegue até o página Perfis.

  3. Escolha o perfil do IAM que você criou em Criar o perfil do IAM, por exemplo aurora-data-loader.

  4. Na guia Permissões, em Políticas de permissões, escolha Adicionar permissões e, em seguida, Criar política em linha.

  5. Na página Especifique permissões, escolha o editor JSON.

  6. Copie e cole o modelo a seguir no editor JSON, substituindo os espaços reservados pelos ARNs dos segredos do banco de dados e da chave do KMS.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Ec2Permission",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkAcls"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:123456789012:secret:source_DB_secret-ABC123",
                "arn:aws:secretsmanager:us-east-1:123456789012:secret:destination_DB_secret-456DEF"
            ]
        },        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/aa11bb22-####-####-####-fedcba123456"
        },
        {
            "Sid": "RdsPermissions",
            "Effect": "Allow",
            "Action": [
                "rds:DescribeDBClusters",
                "rds:DescribeDBInstances"
            ],
            "Resource": "*"
        }
    ]
}

  7. Verifique se há erros e corrija-os.

  8. Escolha Próximo.

  9. Na página Revisar e criar, insira um Nome da política, como data_loading_policy, e escolha Criar política.