Passwortverwaltung mit Amazon RDS und AWS Secrets Manager - Amazon Relational Database Service
EinschränkungenÜbersichtVorteileErforderliche Berechtigungen für die Integration von Secrets ManagerErzwingen der RDS -VerwaltungVerwaltung des Hauptbenutzerpassworts für eine DB-InstanceVerwaltung des Hauptbenutzerpassworts für einen Multi-AZ-DB-ClusterRotieren des Hauptbenutzerpasswort-Secrets für eine DB-InstanceRotieren des Hauptbenutzerpasswort-Secrets für einen Multi-AZ-DB-ClusterAnzeigen der Details zu einem Secret für eine DB-InstanceAnzeigen der Details zu einem Secret für einen Multi-AZ-DB-ClusterVerfügbarkeit von Regionen und Versionen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Passwortverwaltung mit Amazon RDS und AWS Secrets Manager

Amazon RDS lässt sich in Secrets Manager integrieren, um Hauptbenutzerpasswörter für Ihre DB-Instances und Multi-AZ-DB-Cluster zu verwalten.

Einschränkungen für die Integration von Secrets Manager in Amazon RDS

Die Verwaltung von Hauptpasswörtern mit Secrets Manager wird für die folgenden Funktionen nicht unterstützt:

  • Für alle DB-Engines außer RDS für SQL Server: Erstellen eines Lesereplikats, wenn die Quell-DB oder der DB-Cluster Anmeldeinformationen mit Secrets Manager verwaltet

  • Blau/Grün-Bereitstellungen von Amazon RDS

  • Amazon RDS Custom

  • Umstellung auf Oracle Data Guard

  • RDS für Oracle mit CDB

Übersicht über die Verwaltung von Hauptbenutzerpasswörtern mit AWS Secrets Manager

Mit können AWS Secrets ManagerSie hartcodierte Anmeldeinformationen in Ihrem Code, einschließlich Datenbankpasswörtern, durch einen API-Aufruf an Secrets Manager ersetzen, um das Secret programmgesteuert abzurufen. Weitere Informationen zu Secrets Manager finden Sie im Benutzerhandbuch für AWS Secrets Manager.

Wenn Sie Datenbankgeheimnisse in Secrets Manager speichern, fallen für Ihr Gebühren AWS-Konto an. Informationen zu Preisen erhalten Sie unter AWS Secrets Manager -Preise.

Sie können angeben, dass RDS das Hauptbenutzerpasswort in Secrets Manager für eine DB-Instance von Amazon RDS oder einen Multi-AZ-DB-Cluster verwaltet, wenn Sie eine der folgenden Operationen ausführen:

  • Die DB-Instance erstellen

  • Den Multi-AZ-DB-Cluster erstellen

  • Die DB-Instance ändern

  • Den Multi-AZ-DB-Cluster ändern

  • Die DB-Instance aus Amazon S3 wiederherstellen

Wenn Sie angeben, dass RDS das Hauptbenutzerpasswort in Secrets Manager verwaltet, generiert RDS das Passwort und speichert es in Secrets Manager. Sie können direkt mit dem Secret interagieren, um die Anmeldeinformationen für den Hauptbenutzer abzurufen. Sie können auch einen vom Kunden verwalteten Schlüssel angeben, um das Secret zu verschlüsseln, oder den KMS-Schlüssel verwenden, der von Secrets Manager bereitgestellt wird.

RDS verwaltet die Einstellungen für das Secret und rotiert das Secret standardmäßig alle sieben Tage. Sie können einige Einstellungen ändern, wie zum Beispiel den Rotationsplan. Wenn Sie eine DB-Instance löschen, der ein Secret in Secrets Manager verwaltet, werden das Secret und die zugehörigen Metadaten ebenfalls gelöscht.

Um eine Verbindung mit einer DB-Instance oder einem Multi-AZ-DB-Cluster mit den Anmeldeinformationen in einem Secret herzustellen, können Sie das Secret von Secrets Manager abrufen. Weitere Informationen finden Sie unter Abrufen von Secrets aus AWS Secrets Manager und Verbinden mit einer SQL-Datenbank mit Anmeldeinformationen in einem - AWS Secrets Manager Secret im AWS Secrets Manager -Benutzerhandbuch.

Vorteile der Verwaltung von Hauptbenutzerpasswörtern mit Secrets Manager

Die Verwaltung von RDS-Hauptbenutzerpasswörtern mit Secrets Manager bietet die folgenden Vorteile:

  • RDS generiert automatisch Datenbankanmeldeinformationen.

  • RDS speichert und verwaltet Datenbankanmeldeinformationen automatisch in AWS Secrets Manager.

  • RDS rotiert die Datenbankanmeldeinformationen regelmäßig, ohne dass Anwendungsänderungen erforderlich sind.

  • Secrets Manager schützt Datenbankanmeldeinformationen vor menschlichem Zugriff und der Klartextansicht.

  • Secrets Manager ermöglicht das Abrufen von Datenbankanmeldeinformationen in Secrets für Datenbankverbindungen.

  • Secrets Manager ermöglicht eine detaillierte Steuerung des Zugriffs auf Datenbankanmeldeinformationen in Secrets mithilfe von IAM.

  • Optional können Sie die Datenbankverschlüsselung von der Anmeldeinformationsverschlüsselung mit unterschiedlichen KMS-Schlüsseln trennen.

  • Sie können die manuelle Verwaltung und Rotation der Datenbankanmeldeinformationen vermeiden.

  • Sie können Datenbankanmeldeinformationen einfach mit AWS CloudTrail und Amazon überwachen CloudWatch.

Weitere Informationen zu den Vorteilen von Secrets Manager finden Sie im Benutzerhandbuch für AWS Secrets Manager.

Erforderliche Berechtigungen für die Integration von Secrets Manager

Benutzer müssen über die erforderlichen Berechtigungen verfügen, um Operationen im Zusammenhang mit der Integration von Secrets Manager auszuführen. Sie können IAM-Richtlinien erstellen, die die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die benötigt werden. Sie können diese Richtlinien dann den IAM-Berechtigungssätzen oder -Rollen zuordnen, die diese Berechtigungen benötigen. Weitere Informationen finden Sie unter Identity and Access Management für Amazon RDS.

Für Erstellungs-, Änderungs- oder Wiederherstellungsoperationen muss der Benutzer, der angibt, dass Amazon RDS das Hauptbenutzerpasswort in Secrets Manager verwaltet, über entsprechende Berechtigungen für folgende Operationen verfügen:

  • kms:DescribeKey

  • secretsmanager:CreateSecret

  • secretsmanager:TagResource

Für Erstellungs-, Änderungs- oder Wiederherstellungsoperationen muss der Benutzer, der den benutzerdefinierten Schlüssel zum Entschlüsseln des Secrets in Secrets Manager angibt, über entsprechende Berechtigungen für folgende Operationen verfügen:

  • kms:Decrypt

  • kms:GenerateDataKey

  • kms:CreateGrant

Für Änderungsoperationen muss der Benutzer, der das Hauptbenutzerpasswort in Secrets Manager rotiert, über entsprechende Berechtigungen für die folgende Operation verfügen:

  • secretsmanager:RotateSecret

Erzwingen der RDS--Verwaltung des Hauptbenutzerpassworts in AWS Secrets Manager

Sie können IAM-Bedingungsschlüssel verwenden, um die RDS-Verwaltung des Hauptbenutzerpassworts in AWS Secrets Manager zu erzwingen. Die folgende Richtlinie erlaubt Benutzern nicht, DB-Instances oder DB-Cluster zu erstellen oder wiederherzustellen, es sei denn, das Hauptbenutzerpasswort wird von RDS in Secrets Manager verwaltet.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": ["rds:CreateDBInstance", "rds:CreateDBCluster", "rds:RestoreDBInstanceFromS3", "rds:RestoreDBClusterFromS3"],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "rds:ManageMasterUserPassword": false
                }
            }
        }
    ]
}
Anmerkung

Diese Richtlinie erzwingt die Passwortverwaltung in AWS Secrets Manager bei der Erstellung. Sie können die Secrets-Manager-Integration jedoch nach wie vor deaktivieren und ein Hauptpasswort manuell festlegen, indem Sie die Instance ändern.

Um dies zu verhindern, nehmen Sie rds:ModifyDBInstance, rds:ModifyDBCluster in den Aktionsblock der Richtlinie auf. Beachten Sie, dass der Benutzer dadurch keine weiteren Änderungen an vorhandenen Instances vornehmen kann, für die die Secrets-Manager-Integration nicht aktiviert ist.

Weitere Informationen zum Verwenden der Bedingungsschlüssels in IAM-Richtlinien finden Sie unter Richtlinien-Bedingungsschlüssel für Amazon RDS und Beispielrichtlinien: Verwenden von Bedingungsschlüsseln.

Verwaltung des Hauptbenutzerpassworts für eine DB-Instance mit Secrets Manager

Sie können die RDS-Verwaltung des Hauptbenutzerpassworts in Secrets Manager konfigurieren, wenn Sie die folgenden Aktionen ausführen:

Sie können die RDS-Konsole, die oder die RDS-API verwenden AWS CLI, um diese Aktionen auszuführen.

Folgen Sie den Anweisungen zum Erstellen oder Ändern einer DB-Instance mit der RDS-Konsole:

Wenn Sie die RDS-Konsole verwenden, um eine dieser Operationen auszuführen, können Sie angeben, dass das Hauptbenutzerpasswort von RDS in Secrets Manager verwaltet wird. Wählen Sie dazu beim Erstellen oder Wiederherstellen einer DB-Instance Hauptanmeldeinformationen in AWS Secrets Manager verwalten unter Anmeldeinformationseinstellungen aus. Wenn Sie eine DB-Instance ändern, wählen Sie Hauptanmeldeinformationen in AWS Secrets Manager verwalten unter Einstellungen aus.

Die folgende Abbildung zeigt ein Beispiel für die Einstellung Hauptanmeldeinformationen in AWS Secrets Manager verwalten beim Erstellen oder Wiederherstellen einer DB-Instance.

Verwalten von Master-Anmeldeinformationen in AWS Secrets Manager

Wenn Sie diese Option auswählen, generiert RDS das Hauptbenutzerpasswort und verwaltet es während seines gesamten Lebenszyklus in Secrets Manager.

Verwalten von Master-Anmeldeinformationen in AWS Secrets Manager ausgewählten

Sie können wählen, ob Sie das Secret mit einem von Secrets Manager bereitgestellten KMS-Schlüssel oder mit einem von Ihnen erstellten kundenverwalteten Schlüssel verschlüsseln möchten. Nachdem RDS die Datenbankanmeldeinformationen für eine DB-Instance verwaltet hat, können Sie den KMS-Schlüssel, der zum Verschlüsseln des Secrets verwendet wird, nicht mehr ändern.

Sie können andere Einstellungen auswählen, die Ihren Anforderungen entsprechen. Weitere Informationen zu den verfügbaren Einstellungen beim Erstellen einer DB-Instance finden Sie unter Einstellungen für DB-Instances. Weitere Informationen zu den verfügbaren Einstellungen beim Ändern einer DB-Instance finden Sie unter Einstellungen für DB-Instances.

Um das Hauptbenutzerpasswort mit RDS in Secrets Manager zu verwalten, geben Sie die --manage-master-user-password Option in einem der folgenden AWS CLI Befehle an:

Wenn Sie die --manage-master-user-password-Option angeben, generiert RDS das Hauptbenutzerpasswort und verwaltet es während seines gesamten Lebenszyklus in Secrets Manager.

Sie können auch einen kundenverwalteten Schlüssel angeben, um das Secret zu verschlüsseln, oder den KMS-Standardschlüssel verwenden, der von Secrets Manager bereitgestellt wird. Verwenden Sie die --master-user-secret-kms-key-id-Option, um einen kundenverwalteten Schlüssel anzugeben. Die AWS KMS-Schlüsselkennung ist der Schlüssel-ARN, die Schlüssel-ID, der Alias-ARN oder der Aliasname für den KMS-Schlüssel. Um einen KMS-Schlüssel in einem anderen zu verwenden AWS-Konto, geben Sie den Schlüssel-ARN oder Alias-ARN an. Nachdem RDS die Datenbankanmeldeinformationen für eine DB-Instance verwaltet hat, können Sie den KMS-Schlüssel, der zum Verschlüsseln des Secrets verwendet wird, nicht mehr ändern.

Sie können andere Einstellungen auswählen, die Ihren Anforderungen entsprechen. Weitere Informationen zu den verfügbaren Einstellungen beim Erstellen einer DB-Instance finden Sie unter Einstellungen für DB-Instances. Weitere Informationen zu den verfügbaren Einstellungen beim Ändern einer DB-Instance finden Sie unter Einstellungen für DB-Instances.

In diesem Beispiel wird eine DB-Instance erstellt und angegeben, dass RDS das Hauptbenutzerpasswort in Secrets Manager verwaltet. Das Secret wird mit dem KMS-Schlüssel verschlüsselt, der von Secrets Manager bereitgestellt wird.

Für Linux, macOSoder Unix:

aws rds create-db-instance \
    --db-instance-identifier mydbinstance \
    --engine mysql \
    --engine-version 8.0.30 \
    --db-instance-class db.r5b.large \
    --allocated-storage 200 \
    --manage-master-user-password

Windows:

aws rds create-db-instance ^
    --db-instance-identifier mydbinstance ^
    --engine mysql ^
    --engine-version 8.0.30 ^
    --db-instance-class db.r5b.large ^
    --allocated-storage 200 ^
    --manage-master-user-password

Wenn Sie angeben möchten, dass RDS das Hauptbenutzerpasswort in Secrets Manager verwaltet, legen Sie den ManageMasterUserPassword-Parameter in einer der folgenden RDS-API-Operationen auf true fest:

Wenn Sie den ManageMasterUserPassword-Parameter in einer dieser Operationen auf true festlegen, generiert RDS das Hauptbenutzerpasswort und verwaltet es während seines gesamten Lebenszyklus in Secrets Manager.

Sie können auch einen kundenverwalteten Schlüssel angeben, um das Secret zu verschlüsseln, oder den KMS-Standardschlüssel verwenden, der von Secrets Manager bereitgestellt wird. Verwenden Sie den MasterUserSecretKmsKeyId-Parameter, um einen kundenverwalteten Schlüssel anzugeben. Die AWS KMS-Schlüsselkennung ist der Schlüssel-ARN, die Schlüssel-ID, der Alias-ARN oder der Aliasname für den KMS-Schlüssel. Geben Sie den Schlüssel-ARN oder Alias-ARN an, um einen KMS-Schlüssel in einem anderen AWS-Konto zu verwenden. Nachdem RDS die Datenbankanmeldeinformationen für eine DB-Instance verwaltet hat, können Sie den KMS-Schlüssel, der zum Verschlüsseln des Secrets verwendet wird, nicht mehr ändern.

Verwaltung des Hauptbenutzerpassworts für einen Multi-AZ-DB-Cluster mit Secrets Manager

Sie können die RDS-Verwaltung des Hauptbenutzerpassworts in Secrets Manager konfigurieren, wenn Sie die folgenden Aktionen ausführen:

Sie können die RDS-Konsole, die oder die RDS-API verwenden AWS CLI, um diese Aktionen auszuführen.

Folgen Sie den Anweisungen zum Erstellen oder Ändern eines Multi-AZ DB-Clusters mit der RDS-Konsole:

Wenn Sie die RDS-Konsole verwenden, um eine dieser Operationen auszuführen, können Sie angeben, dass das Hauptbenutzerpasswort von RDS in Secrets Manager verwaltet wird. Wählen Sie dazu beim Erstellen eines DB-Clusters Hauptanmeldeinformationen in AWS Secrets Manager verwalten unter Anmeldeinformationseinstellungen aus. Wenn Sie einen DB-Cluster ändern, wählen Sie Hauptanmeldeinformationen in AWS Secrets Manager verwalten unter Einstellungen aus.

Die folgende Abbildung zeigt ein Beispiel für die Einstellung Hauptanmeldeinformationen in AWS Secrets Manager verwalten beim Erstellen eines DB-Clusters.

Verwalten von Master-Anmeldeinformationen in AWS Secrets Manager

Wenn Sie diese Option auswählen, generiert RDS das Hauptbenutzerpasswort und verwaltet es während seines gesamten Lebenszyklus in Secrets Manager.

Verwalten von Master-Anmeldeinformationen in AWS Secrets Manager ausgewählten

Sie können wählen, ob Sie das Secret mit einem von Secrets Manager bereitgestellten KMS-Schlüssel oder mit einem von Ihnen erstellten kundenverwalteten Schlüssel verschlüsseln möchten. Nachdem RDS die Datenbankanmeldeinformationen für einen DB-Cluster verwaltet hat, können Sie den KMS-Schlüssel, der zum Verschlüsseln des Secrets verwendet wird, nicht mehr ändern.

Sie können andere Einstellungen auswählen, die Ihren Anforderungen entsprechen.

Weitere Informationen zu den verfügbaren Einstellungen beim Erstellen eines Multi-AZ-DB-Clusters finden Sie unter Einstellungen zum Erstellen von Multi-AZ-DB-Clustern. Weitere Informationen zu den verfügbaren Einstellungen beim Ändern eines Multi-AZ-DB-Clusters finden Sie unter Einstellungen zum Ändern von Multi-AZ-DB-Clustern.

Wenn Sie angeben möchten, dass RDS das Hauptbenutzerpasswort in Secrets Manager verwalten soll, geben Sie die --manage-master-user-password-Option in einem der folgenden Befehle an:

Wenn Sie die --manage-master-user-password-Option angeben, generiert RDS das Hauptbenutzerpasswort und verwaltet es während seines gesamten Lebenszyklus in Secrets Manager.

Sie können auch einen kundenverwalteten Schlüssel angeben, um das Secret zu verschlüsseln, oder den KMS-Standardschlüssel verwenden, der von Secrets Manager bereitgestellt wird. Verwenden Sie die --master-user-secret-kms-key-id-Option, um einen kundenverwalteten Schlüssel anzugeben. Die AWS KMS-Schlüsselkennung ist der Schlüssel-ARN, die Schlüssel-ID, der Alias-ARN oder der Aliasname für den KMS-Schlüssel. Um einen KMS-Schlüssel in einem anderen zu verwenden AWS-Konto, geben Sie den Schlüssel-ARN oder Alias-ARN an. Nachdem RDS die Datenbankanmeldeinformationen für einen DB-Cluster verwaltet hat, können Sie den KMS-Schlüssel, der zum Verschlüsseln des Secrets verwendet wird, nicht mehr ändern.

Sie können andere Einstellungen auswählen, die Ihren Anforderungen entsprechen.

Weitere Informationen zu den verfügbaren Einstellungen beim Erstellen eines Multi-AZ-DB-Clusters finden Sie unter Einstellungen zum Erstellen von Multi-AZ-DB-Clustern. Weitere Informationen zu den verfügbaren Einstellungen beim Ändern eines Multi-AZ-DB-Clusters finden Sie unter Einstellungen zum Ändern von Multi-AZ-DB-Clustern.

In diesem Beispiel wird ein Multi-AZ-DB-Cluster erstellt und angegeben, dass RDS das Passwort in Secrets Manager verwaltet. Das Secret wird mit dem KMS-Schlüssel verschlüsselt, der von Secrets Manager bereitgestellt wird.

Für Linux, macOSoder Unix:

aws rds create-db-cluster \
   --db-cluster-identifier mysql-multi-az-db-cluster \
   --engine mysql \
   --engine-version 8.0.28  \
   --backup-retention-period 1  \
   --allocated-storage 4000 \
   --storage-type io1 \
   --iops 10000 \
   --db-cluster-instance-class db.r6gd.xlarge \
   --manage-master-user-password

Windows:

aws rds create-db-cluster ^
   --db-cluster-identifier mysql-multi-az-db-cluster ^
   --engine mysql ^
   --engine-version 8.0.28 ^
   --backup-retention-period 1 ^
   --allocated-storage 4000 ^
   --storage-type io1 ^
   --iops 10000 ^
   --db-cluster-instance-class db.r6gd.xlarge ^
   --manage-master-user-password

Wenn Sie angeben möchten, dass RDS das Hauptbenutzerpasswort in Secrets Manager verwaltet, legen Sie den ManageMasterUserPassword-Parameter in einer der folgenden Operationen auf true fest:

Wenn Sie den ManageMasterUserPassword-Parameter in einer dieser Operationen auf true festlegen, generiert RDS das Hauptbenutzerpasswort und verwaltet es während seines gesamten Lebenszyklus in Secrets Manager.

Sie können auch einen kundenverwalteten Schlüssel angeben, um das Secret zu verschlüsseln, oder den KMS-Standardschlüssel verwenden, der von Secrets Manager bereitgestellt wird. Verwenden Sie den MasterUserSecretKmsKeyId-Parameter, um einen kundenverwalteten Schlüssel anzugeben. Die AWS KMS-Schlüsselkennung ist der Schlüssel-ARN, die Schlüssel-ID, der Alias-ARN oder der Aliasname für den KMS-Schlüssel. Geben Sie den Schlüssel-ARN oder Alias-ARN an, um einen KMS-Schlüssel in einem anderen AWS-Konto zu verwenden. Nachdem RDS die Datenbankanmeldeinformationen für einen DB-Cluster verwaltet hat, können Sie den KMS-Schlüssel, der zum Verschlüsseln des Secrets verwendet wird, nicht mehr ändern.

Rotieren des Hauptbenutzerpasswort-Secrets für eine DB-Instance

Wenn RDS ein Hauptbenutzerpasswort-Secret rotiert, generiert Secrets Manager eine neue geheime Version für das vorhandene Secret. Die neue Secret-Version enthält das neue Hauptbenutzerpasswort. Amazon RDS ändert das Hauptbenutzerpasswort für die DB-Instance, sodass es dem Passwort für die neue Secret-Version entspricht.

Sie können ein Secret sofort rotieren, anstatt auf eine geplante Rotation zu warten. Ändern Sie die DB-Instance, um ein Hauptbenutzerpasswort-Secret in Secrets Manager zu rotieren. Informationen zum Ändern einer DB-Instance finden Sie unter Ändern einer Amazon RDS-DB-Instance.

Sie können ein Hauptbenutzerpasswort-Secret sofort über die RDS-Konsole AWS CLI, die oder die RDS-API rotieren. Das neue Passwort ist immer 28 Zeichen lang und enthält mindestens ein Groß- und Kleinbuchstaben, eine Zahl und ein Satzzeichen.

Wenn Sie das Hauptbenutzerpasswort-Secret mithilfe der RDS-Konsole rotieren möchten, ändern Sie die DB-Instance und wählen Sie die Option Rotate secret immediately (Sofortige Secret-Drehung) unter Settings (Einstellungen) aus.

Ein Hauptbenutzerpasswort-Secret sofort drehen

Folgen Sie den Anweisungen zum Ändern einer DB-Instance mit der RDS-Konsole in Ändern einer Amazon RDS-DB-Instance. Sie müssen auf der Bestätigungsseite die Option Apply immediately (Sofort anwenden) auswählen.

Um ein Hauptbenutzerpasswort-Secret mit der zu rotieren AWS CLI, verwenden Sie den Befehl modify-db-instance und geben Sie die --rotate-master-user-password Option an. Sie müssen die --apply-immediately-Option angeben, wenn Sie das Hauptpasswort rotieren.

In diesem Beispiel wird ein Hauptbenutzerpasswort-Secret rotiert.

Für Linux, macOSoder Unix:

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --rotate-master-user-password \
    --apply-immediately

Windows:

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --rotate-master-user-password ^
    --apply-immediately

Sie können ein Hauptbenutzerpasswort-Secret mit der Operation modifyDBInstance und der Einstellung des RotateMasterUserPassword-Parameters auf true rotieren. Sie müssen den ApplyImmediately-Parameter auf true festlegen, wenn Sie das Hauptpasswort rotieren.

Rotieren des Hauptbenutzerpasswort-Secrets für einen Multi-AZ-DB-Cluster

Wenn RDS ein Hauptbenutzerpasswort-Secret rotiert, generiert Secrets Manager eine neue Secret-Version für das vorhandene Secret. Die neue Secret-Version enthält das neue Hauptbenutzerpasswort. Amazon RDS ändert das Hauptbenutzerpasswort für den Multi-AZ-DB-Cluster so, dass es mit dem Passwort für die neue Secret-Version übereinstimmt.

Sie können ein Secret sofort rotieren, anstatt auf eine geplante Rotation zu warten. Wenn Sie das Hauptbenutzerpasswort-Secret in Secrets Manager rotieren möchten, ändern Sie den Multi-AZ DB-Cluster. Informationen über das Ändern eines Multi-AZ-DB-Clusters finden Sie unter Ändern eines Multi-AZ-DB-Clusters.

Sie können ein Hauptbenutzerpasswort-Secret sofort über die RDS-Konsole AWS CLI, die oder die RDS-API rotieren. Das neue Passwort ist immer 28 Zeichen lang und enthält mindestens ein Groß- und Kleinbuchstaben, eine Zahl und ein Satzzeichen.

Wenn Sie das Hauptbenutzerpasswort-Secret mithilfe der RDS-Konsole rotieren möchten, ändern Sie den Multi-AZ DB-Cluster und wählen Sie die Option Rotate secret immediately (Sofortige Secret-Drehung) unter Settings (Einstellungen) aus.

Ein Hauptbenutzerpasswort-Secret sofort drehen

Folgen Sie den Anweisungen zum Ändern eines Multi-AZ DB-Clusters mit der RDS-Konsole in Ändern eines Multi-AZ-DB-Clusters. Sie müssen auf der Bestätigungsseite die Option Apply immediately (Sofort anwenden) auswählen.

Um ein Hauptbenutzerpasswort-Secret mit der zu rotieren AWS CLI, verwenden Sie den Befehl modify-db-cluster und geben Sie die --rotate-master-user-password Option an. Sie müssen die --apply-immediately-Option angeben, wenn Sie das Hauptpasswort rotieren.

In diesem Beispiel wird ein Hauptbenutzerpasswort-Secret rotiert.

Für Linux, macOSoder Unix:

aws rds modify-db-cluster \
    --db-cluster-identifier mydbcluster \
    --rotate-master-user-password \
    --apply-immediately

Windows:

aws rds modify-db-cluster ^
    --db-cluster-identifier mydbcluster ^
    --rotate-master-user-password ^
    --apply-immediately

Sie können ein Hauptbenutzerpasswort-Secret mit der Operation ModifyDBCluster und der Einstellung des RotateMasterUserPassword-Parameters auf true rotieren. Sie müssen den ApplyImmediately-Parameter auf true festlegen, wenn Sie das Hauptpasswort rotieren.

Anzeigen der Details zu einem Secret für eine DB-Instance

Sie können Ihre Secrets über die Konsole (https://console.aws.amazon.com/secretsmanager/) oder die AWS CLI (get-secret-value-Secrets-Manager-Befehl) abrufen.

Sie finden den Amazon-Ressourcennamen (ARN) eines von RDS verwalteten Secrets in Secrets Manager mit der RDS-Konsole AWS CLI, der oder der RDS-API.

So zeigen Sie die Details zu einem von RDS verwalteten Secret in Secrets Manager an

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon-RDS-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich Datenbanken aus.

  3. Wählen Sie den Namen der entsprechenden DB-Instance aus, um deren Details anzuzeigen.

  4. Wählen Sie die Registerkarte Konfiguration aus.

    Unter Master Credentials ARN (ARN der Hauptanmeldeinformationen) können Sie den geheimen ARN einsehen.

    Die Details zu einem von RDS verwalteten Secret in Secrets Manager anzeigen

    Sie können dem Link Manage in Secrets Manager (In Secrets Manager verwalten) folgen, um das Secret in der Secrets-Manager-Konsole anzuzeigen und zu verwalten.

Sie können den describe-db-instances RDS-CLI-Befehl verwenden, um die folgenden Informationen zu einem von RDS verwalteten Secret in Secrets Manager zu finden:

  • SecretArn – Der ARN des Secrets

  • SecretStatus – Der Status des Secrets

    Mögliche Werte für den Status sind u. a. folgende:

    • creating – Das Secret wird erstellt.

    • active – Das Secret ist für den normalen Gebrauch und die Rotation verfügbar.

    • rotating – Das Secret wird rotiert.

    • impaired – Das Secret kann für den Zugriff auf Datenbankanmeldeinformationen verwendet werden, es kann jedoch nicht rotiert werden. Ein Secret kann diesen Status haben, wenn beispielsweise die Berechtigungen geändert werden, sodass RDS nicht mehr auf das Secret oder den KMS-Schlüssel für das Secret zugreifen kann.

      Wenn ein Secret diesen Status hat, können Sie die Bedingung korrigieren, die den Status verursacht hat. Wenn Sie die Bedingung korrigieren, die den Status verursacht hat, behält der Status bis zur nächsten Rotation den Wert impaired. Alternativ können Sie die DB-Instance ändern, um die automatische Verwaltung von Datenbankanmeldeinformationen zu deaktivieren, und dann die DB-Instance erneut ändern, um die automatische Verwaltung von Datenbankanmeldeinformationen zu aktivieren. Um die DB-Instance zu ändern, verwenden Sie die --manage-master-user-password Option im modify-db-instance Befehl .

  • KmsKeyId – Der ARN des KMS-Schlüssels, der verwendet wird, um das Secret zu verschlüsseln

Geben Sie die --db-instance-identifier-Option an, um die Ausgabe für eine bestimmte DB-Instance anzuzeigen. Dieses Beispiel zeigt die Ausgabe für ein Secret, das von einer DB-Instance verwendet wird.

aws rds describe-db-instances --db-instance-identifier mydbinstance

Das folgende Beispiel zeigt die Ausgabe für ein Secret:

"MasterUserSecret": {
                "SecretArn": "arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx",
                "SecretStatus": "active",
                "KmsKeyId": "arn:aws:kms:eu-west-1:123456789012:key/0987dcba-09fe-87dc-65ba-ab0987654321"
            }

Wenn Sie den geheimen ARN haben, können Sie Details zum Secret mit dem get-secret-value Secrets-Manager-CLI-Befehl anzeigen.

Dieses Beispiel zeigt die Details für das Secret in der vorherigen Beispielausgabe.

Für Linux, macOSoder Unix:

aws secretsmanager get-secret-value \
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

Windows:

aws secretsmanager get-secret-value ^
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

Sie können den ARN, den Status und den KMS-Schlüssel für ein von RDS verwaltetes Secret in Secrets Manager anzeigen, indem Sie die Operation DescribeDBInstances verwenden und den DBInstanceIdentifier-Parameter auf eine DB-Instance-ID festlegen. Details zum Secret sind in der Ausgabe enthalten

Wenn Sie über den geheimen ARN verfügen, können Sie mit der GetSecretValue Secrets-Manager-Operation Details zum Secret anzeigen.

Anzeigen der Details zu einem Secret für einen Multi-AZ-DB-Cluster

Sie können Ihre Secrets über die Konsole (https://console.aws.amazon.com/secretsmanager/) oder die AWS CLI (get-secret-value-Secrets-Manager-Befehl) abrufen.

Sie finden den Amazon-Ressourcennamen (ARN) eines von RDS verwalteten Secrets in Secrets Manager mit der RDS-Konsole AWS CLI, der oder der RDS-API.

So zeigen Sie die Details zu einem von RDS verwalteten Secret in Secrets Manager an

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die Amazon-RDS-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich Datenbanken aus.

  3. Wählen Sie den Namen des Multi-AZ-DB-Clusters aus, um dessen Details anzuzeigen.

  4. Wählen Sie die Registerkarte Konfiguration aus.

    Unter Master Credentials ARN (ARN der Hauptanmeldeinformationen) können Sie den geheimen ARN einsehen.

    Die Details zu einem von RDS verwalteten Secret in Secrets Manager anzeigen

    Sie können dem Link Manage in Secrets Manager (In Secrets Manager verwalten) folgen, um das Secret in der Secrets-Manager-Konsole anzuzeigen und zu verwalten.

Sie können den RDS AWS CLI describe-db-clusters-Befehl verwenden, um die folgenden Informationen zu einem von RDS verwalteten Secret in Secrets Manager zu finden:

  • SecretArn – Der ARN des Secrets

  • SecretStatus – Der Status des Secrets

    Mögliche Werte für den Status sind u. a. folgende:

    • creating – Das Secret wird erstellt.

    • active – Das Secret ist für den normalen Gebrauch und die Rotation verfügbar.

    • rotating – Das Secret wird rotiert.

    • impaired – Das Secret kann für den Zugriff auf Datenbankanmeldeinformationen verwendet werden, es kann jedoch nicht rotiert werden. Ein Secret kann diesen Status haben, wenn beispielsweise die Berechtigungen geändert werden, sodass RDS nicht mehr auf das Secret oder den KMS-Schlüssel für das Secret zugreifen kann.

      Wenn ein Secret diesen Status hat, können Sie die Bedingung korrigieren, die den Status verursacht hat. Wenn Sie die Bedingung korrigieren, die den Status verursacht hat, behält der Status bis zur nächsten Rotation den Wert impaired. Alternativ können Sie den DB-Cluster ändern, um die automatische Verwaltung von Datenbankanmeldeinformationen zu deaktivieren, und dann den DB-Cluster erneut ändern, um die automatische Verwaltung von Datenbankanmeldeinformationen zu aktivieren. Um den DB-Cluster zu ändern, verwenden Sie die --manage-master-user-password Option im modify-db-cluster Befehl .

  • KmsKeyId – Der ARN des KMS-Schlüssels, der verwendet wird, um das Secret zu verschlüsseln

Geben Sie die --db-cluster-identifier-Option an, um die Ausgabe für einen bestimmten DB-Cluster anzuzeigen. Dieses Beispiel zeigt die Ausgabe für ein Secret, das von einem DB-Cluster verwendet wird.

aws rds describe-db-clusters --db-cluster-identifier mydbcluster

Das folgende Beispiel zeigt die Ausgabe für ein Secret:

"MasterUserSecret": {
                "SecretArn": "arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx",
                "SecretStatus": "active",
                "KmsKeyId": "arn:aws:kms:eu-west-1:123456789012:key/0987dcba-09fe-87dc-65ba-ab0987654321"
            }

Wenn Sie über den geheimen ARN verfügen, können Sie mit dem get-secret-value Secrets-Manager-CLI-Befehl Details zum Secret anzeigen.

Dieses Beispiel zeigt die Details für das Secret in der vorherigen Beispielausgabe.

Für Linux, macOSoder Unix:

aws secretsmanager get-secret-value \
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

Windows:

aws secretsmanager get-secret-value ^
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

Sie können den ARN, den Status und den KMS-Schlüssel für ein von RDS verwaltetes Secret in Secrets Manager anzeigen, indem Sie die RDS-Operation DescribeDBClusters verwenden und den DBClusterIdentifier-Parameter auf eine DB-Instance-ID festlegen. Details zum Secret sind in der Ausgabe enthalten

Wenn Sie den geheimen ARN haben, können Sie Details zum Secret mithilfe der GetSecretValue Secrets-Manager-Operation anzeigen.

Verfügbarkeit von Regionen und Versionen

Die Verfügbarkeit von Funktionen und der Support variieren zwischen bestimmten Versionen der einzelnen Datenbank-Engines und in allen AWS-Regionen. Weitere Informationen zur Verfügbarkeit von Versionen und Regionen für die Integration von Secrets Manager in Amazon RDS finden Sie unter Integration von Secrets Manager.