Para recursos semelhantes aos do Amazon Timestream para, considere o Amazon Timestream LiveAnalytics para InfluxDB. Ele oferece ingestão de dados simplificada e tempos de resposta de consulta de um dígito em milissegundos para análises em tempo real. Saiba mais aqui.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como o Amazon Timestream para InfluxDB usa segredos

O Timestream para InfluxDB suporta autenticação de nome de usuário e senha por meio da interface do usuário e credenciais de token para conexões de clientes e aplicativos com privilégios mínimos. Os usuários do Timestream para InfluxDB têm permissões allAccess em sua organização, enquanto os tokens podem ter qualquer conjunto de permissões. Seguindo as práticas recomendadas para o gerenciamento seguro de tokens de API, os usuários devem ser criados para gerenciar tokens para acesso refinado em uma organização. Informações adicionais sobre as práticas recomendadas administrativas com o Timestream para InfluxDB podem ser encontradas na documentação do Influxdata.

AWS Secrets Manager é um serviço de armazenamento secreto que você pode usar para proteger credenciais de banco de dados, chaves de API e outras informações secretas. Em Seguida, no seu código, é possível substituir credenciais codificadas por uma chamada de API para o Secrets Manager. Isso ajuda a garantir que o segredo não possa ser comprometido por alguém que esteja examinando seu código, pois o segredo não está ali. Para obter uma visão geral do Secrets Manager, consulte O que é o AWS Secrets Manager.

Quando você cria uma instância de banco de dados, o Timestream for InfluxDB cria automaticamente um segredo de administrador para você usar com a função de rotação multiusuário. AWS Lambda Para alternar o Timestream para usuários e tokens do InfluxDB, você deve criar um novo segredo manualmente para cada usuário ou token que deseja alternar. Cada segredo pode ser configurado para alternar de acordo com uma programação com o uso de uma função do Lambda. O processo para configurar um novo segredo rotativo consiste em carregar o código da função do Lambda, configurar a função do Lambda, definir o novo segredo e configurar o cronograma de rotação do segredo.

O que há no segredo?

Ao armazenar as credenciais de usuário do Timestream para InfluxDB no segredo, use o formato a seguir.

Usuário único:

{
  "engine": "<required: must be set to 'timestream-influxdb'>",
  "username": "<required: username>",
  "password": "<required: password>",
  "dbIdentifier": "<required: DB identifier>"
}

Quando você cria uma instância Timestream para InfluxDB, um segredo administrativo é armazenado automaticamente no Secrets Manager com credenciais a serem usadas com a função do Lambda multiusuário. Defina adminSecretArn como o valor Authentication Properties Secret Manager ARN encontrado na página de resumo da instância de banco de dados ou como o ARN de um segredo administrativo. Para criar um novo segredo de administrador, você já deve ter as credenciais associadas e as credenciais devem ter privilégios de administrador.

Ao armazenar as credenciais do token Timestream para InfluxDB no segredo, use o formato a seguir.

Multiusuário:

{
  "engine": "<required: must be set to 'timestream-influxdb'>",
  "org": "<required: organization to associate token with>",
  "adminSecretArn": "<required: ARN of the admin secret>",
  "type": "<required: allAccess or operator or custom>",
  "dbIdentifier": "<required: DB identifier>",
  "token": "<required unless generating a new token: token being rotated>",
  "writeBuckets": "<optional: list of bucketIDs for custom type token, must be input within plaintext panel, for example ['id1','id2']>",
  "readBuckets": "<optional: list of bucketIDs for custom type token, must be input within plaintext panel, for example ['id1','id2']>",
  "permissions": "<optional: list of permissions for custom type token, must be input within plaintext panel, for example ['write-tasks','read-tasks']>"
}

Ao armazenar as credenciais de administrador do Timestream para InfluxDB no segredo, use o formato a seguir:

Segredo do administrador:

{
  "engine": "<required: must be set to 'timestream-influxdb'>",
  "username": "<required: username>",
  "password": "<required: password>",
  "dbIdentifier": "<required: DB identifier>",
  "organization": "<optional: initial organization>",
  "bucket": "<optional: initial bucket>"
}

Para ativar a alternância automática para o segredo, tal segredo deve estar na estrutura JSON correta. Consulte Alternância do segredo para saber como alternar os segredos do Timestream para InfluxDB.

Modificar o segredo

As credenciais geradas durante o processo de criação da instância do Timestream para InfluxDB são armazenadas em um segredo do Secrets Manager em sua conta. O objeto de GetDbInstanceresposta contém um influxAuthParametersSecretArn que mantém o Amazon Resource Name (ARN) em segredo. O segredo só será preenchido depois que sua instância Timestream para InfluxDB estiver disponível. Essa é uma cópia READONLY, pois qualquer updates/modifications/deletions cópia desse segredo não afeta a instância de banco de dados criada. Se você excluir esse segredo, a resposta da API ainda se referirá ao ARN secreto excluído.

Para criar um novo token na instância Timestream para InfluxDB em vez de armazenar as credenciais de token existentes, você pode criar tokens que não sejam operadores deixando o valor token em branco no segredo e usando a função de rotação multiusuário com a variável de ambiente do Lambda AUTHENTICATION_CREATION_ENABLED definida como true. Se você criar um novo token, as permissões definidas no segredo serão atribuídas ao token e não poderão ser alteradas após a primeira rotação bem-sucedida. Para obter mais informações sobre segredos rotativos, consulte Rotating AWS Secrets Manager Secrets.

Se um segredo for excluído, o usuário ou token associado na instância Timestream para InfluxDB não será excluído.

Alternância do segredo

Você usa as funções do Lambda de rotação de usuário único e multiusuário do Timestream para InfluxDB para alternar as credenciais de usuário e token do Timestream para InfluxDB. Use a função do Lambda de usuário único para alternar as credenciais do usuário para sua instância do Timestream para InfluxDB e use a função do Lambda multiusuário para alternar as credenciais de token para sua instância do Timestream para InfluxDB.

A rotação de usuários e tokens com as funções do Lambda para um ou vários usuários é opcional. As credenciais do Timestream para InfluxDB nunca expiram e qualquer credencial exposta representa um risco de ações maliciosas contra sua instância de banco de dados. A vantagem de alternar as credenciais do Timestream para InfluxDB com o Secrets Manager é uma camada de segurança adicional que limita o vetor de ataque das credenciais expostas à janela de tempo até o próximo ciclo de rotação. Se nenhum mecanismo de rotação estiver em vigor para sua instância de banco de dados, todas as credenciais expostas serão válidas até serem excluídas manualmente.

Você pode configurar o Secrets Manager para alterar automaticamente os segredos para você de acordo com a programação que você especificar. Isso permite substituir segredos de longo prazo por outros de curto prazo, ajudando a reduzir de maneira significativa o risco de comprometimento. Para obter mais informações sobre a rotação de segredos com o Secrets Manager, consulte Rotate AWS Secrets Manager Secrets.

Alternância de usuários

Quando você alterna usuários com a função do Lambda de usuário único, uma nova senha aleatória será atribuída ao usuário após cada rotação. Para obter mais informações sobre como ativar a rotação automática, consulte Configurar a rotação automática para AWS segredos do Secrets Manager que não sejam do banco de dados.

Alternar segredos do administrador

Para alternar um segredo administrativo, você usa a função de rotação de usuário único. Você precisa adicionar os valores engine e dbIdentifier ao segredo, pois esses valores não são preenchidos automaticamente na inicialização do banco de dados. Consulte O que há no segredo? para ver o modelo secreto completo.

Para localizar um segredo administrativo para uma instância do Timestream para InfluxDB, você usa o ARN do segredo do administrador da página de resumo da instância do Timestream para InfluxDB. É recomendável que você alterne todos os segredos de administrador do Timestream para InfluxDB, pois os usuários administradores têm permissões elevadas para a instância do Timestream para InfluxDB.

Função de alternância do Lambda

Você pode rotacionar um Timestream para um usuário do InfluxDB com a função de rotação de usuário único usando o O que há no segredo? com um novo segredo e adicionando os campos obrigatórios para o usuário do Timestream para InfluxDB. Para obter mais informações sobre funções do Lambda de rotação secreta, consulte Rotação por função do Lambda.

Você pode rotacionar um Timestream para um usuário do InfluxDB com a função de rotação de usuário único usando o O que há no segredo? com um novo segredo e adicionando os campos obrigatórios para o usuário do Timestream para InfluxDB. Para obter mais informações sobre funções do Lambda de rotação secreta, consulte Rotação por função do Lambda.

A função de rotação de usuário único se autentica com a instância de banco de dados do Timestream para InfluxDB usando as credenciais definidas no segredo, depois gera uma nova senha aleatória e define a nova senha para o usuário. Para obter mais informações sobre funções do Lambda de rotação secreta, consulte Rotação por função do Lambda.

Permissões do perfil de execução da função do Lambda

Use a seguinte política do IAM como função para a função do Lambda de usuário único. A política dá à função do Lambda as permissões necessárias para realizar uma rotação de segredo para os usuários do Timestream para InfluxDB.

Substitua todos os itens listados abaixo na política do IAM pelos valores da sua AWS conta:

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:PutSecretValue",
                "secretsmanager:UpdateSecretVersionStage"
            ],
            "Resource": "arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret"
        },
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetRandomPassword"
            ],
            "Resource": "*"
        },
        {
            "Action": [
                "timestream-influxdb:GetDbInstance"
            ],
            "Resource": "arn:aws:timestream-influxdb:us-east-2:111122223333:db-instance/MyDbInstance",
            "Effect": "Allow"
        }
    ]
}

Alternância de tokens

Você pode rotacionar um token Timestream para InfluxDB com a função de rotação multiusuário usando o O que há no segredo? com um novo segredo e adicionando os campos obrigatórios para seu token do Timestream para InfluxDB. Para obter mais informações sobre funções do Lambda de rotação secreta, consulte Rotação por função do Lambda.

Você pode alternar um token Timestream para InfluxDB usando a função do Lambda multiusuário do Timestream para InfluxDB. Defina a variável de ambiente AUTHENTICATION_CREATION_ENABLED como true na configuração do Lambda para permitir a criação de tokens. Para criar um novo token, use O que há no segredo? como seu valor secreto. Omita o par de valores-chave token no novo segredo e defina o type como allAccess, ou defina as permissões específicas e defina o tipo como custom. A função de rotação criará um novo token durante o primeiro ciclo de rotação. Você não pode alterar as permissões do token editando o segredo após a rotação, e qualquer rotação subsequente usará as permissões definidas na instância de banco de dados.

Função de alternância do Lambda

A função de rotação de vários usuários alterna as credenciais do token criando um novo token idêntico de permissão usando as credenciais do administrador no segredo do administrador. A função do Lambda valida o valor do token no segredo antes de criar o token substituto, armazenar o novo valor do token no segredo e excluir o token antigo. Se a função do Lambda estiver criando um novo token, ela primeiro validará que a variável de ambiente AUTHENTICATION_CREATION_ENABLED está definida como true, se não há valor de token no segredo e se o tipo de token não é operador de tipo.

Permissões do perfil de execução da função do Lambda

Use a seguinte política do IAM como perfil para a função do Lambda multiusuário. A política dá à função do Lambda as permissões necessárias para realizar uma rotação de segredo para os tokens do Timestream para InfluxDB.

Substitua todos os itens listados abaixo na política do IAM pelos valores da sua AWS conta:

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:DescribeSecret",
                "secretsmanager:GetSecretValue",
                "secretsmanager:PutSecretValue",
                "secretsmanager:UpdateSecretVersionStage"
            ],
	        "Resource": "arn:aws:secretsmanager:us-east-2:111122223333:secret:MySecret"
        },
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
	        "Resource": "arn:aws:secretsmanager:us-east-2:111122223333:secret:MyAdminSecret"
        },
        {
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetRandomPassword"
            ],
            "Resource": "*"
        },
        {
            "Action": [
                "timestream-influxdb:GetDbInstance"
            ],
	        "Resource": "arn:aws:timestream-influxdb:us-east-2:111122223333:db-instance/MyDbInstance",
            "Effect": "Allow"
        }
    ]
}