As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciamento de senhas com o Amazon DocumentDB e AWS Secrets Manager

O Amazon DocumentDB se integra ao Secrets Manager para gerenciar senhas de usuário primárias para seus clusters.

Limitações da integração do Secrets Manager com o Amazon DocumentDB

O gerenciamento de senhas do usuário principal com o Secrets Manager não oferece suporte aos recursos a seguir:

Visão geral do gerenciamento de senhas de usuário primário com AWS Secrets Manager

Com AWS Secrets Manager, você pode substituir as credenciais codificadas em seu código, incluindo senhas de banco de dados, por uma chamada de API para o Secrets Manager para recuperar o segredo programaticamente. Para ter mais informações sobre o Secrets Manager, consulte o Guia do usuário do AWS Secrets Manager.

Quando você armazena segredos do banco de dados no Secrets Manager, sua AWS conta incorre em cobranças. Para obter mais informações sobre preços, consulte Preços do AWS Secrets Manager.

É possível especificar que o Amazon DocumentDB gerencie a senha do usuário principal no Secrets Manager para um cluster do Amazon DocumentDB ao realizar uma das operações a seguir:

Quando você especifica que o Amazon DocumentDB gerencie a senha do usuário principal no Secrets Manager, o Amazon DocumentDB gera a senha e a armazena no Secrets Manager. É possível interagir diretamente com o segredo para recuperar as credenciais do usuário principal. Você também pode especificar uma chave gerenciada pelo cliente para criptografar o segredo ou usar a chave do KMS fornecida pelo Secrets Manager.

O Amazon DocumentDB gerencia as configurações do segredo e o alterna a cada sete dias, por padrão. É possível modificar algumas configurações, como o cronograma de alternância. Se você excluir um cluster que gerencie um segredo no Secrets Manager, o segredo e seus metadados associados também serão excluídos.

Para conectar-se a um cluster com as credenciais em um segredo, é possível recuperar o segredo do Secrets Manager. Para obter mais informações, consulte Obter segredos AWS Secrets Manager e Conectar-se a um banco de dados SQL usando JDBC com credenciais em um AWS Secrets Manager segredo no Guia do AWS Secrets Manager usuário.

Impondo o gerenciamento da senha do usuário principal pelo Amazon DocumentDB no AWS Secrets Manager

É possível usar as chaves de condição do IAM para impor o gerenciamento pelo Amazon DocumentDB da senha do usuário principal no AWS Secrets Manager. A política a seguir não permite que os usuários criem nem restaurem instâncias ou clusters, a menos que a senha do usuário principal seja gerenciada pelo Amazon DocumentDB no Secrets Manager.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "rds:CreateDBCluster"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "rds:ManageMasterUserPassword": false
                }
            }
        }
    ]
}

Gerenciamento da senha do usuário principal para um cluster com o Secrets Manager

É possível configurar o gerenciamento pelo Amazon DocumentDB da senha do usuário principal no Secrets Manager com a realização das ações a seguir:

Você pode usar o console do Amazon DocumentDB ou o AWS CLI para realizar essas ações.