Einrichten der Einzelbenutzer-Drehung für AWS Secrets Manager - AWS Secrets Manager
BerechtigungenVoraussetzungenSchritt 1: Erstellen eines Amazon-RDS-DatenbankbenutzersSchritt 2: Erstellen eines Secrets für die Benutzer-AnmeldeinformationenSchritt 3: Testen des rotierten PasswortsSchritt 4: Bereinigen von RessourcenNächste Schritte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten der Einzelbenutzer-Drehung für AWS Secrets Manager

In diesem Tutorial erfahren Sie, wie Sie eine Einzelbenutzerrotation für ein Secret einrichten, das Datenbankanmeldeinformationen enthält. Einzelbenutzerrotation ist eine Rotationsstrategie, bei der Secrets Manager die Anmeldeinformationen eines einzelnen Benutzers sowohl im Secret als auch in der Datenbank aktualisiert. Weitere Informationen finden Sie unter Rotationsstrategie: Einzelbenutzer.

Nachdem Sie das Tutorial abgeschlossen haben, empfehlen wir, dass Sie die Ressourcen aus dem Tutorial bereinigen. Verwenden Sie sie nicht in einer Produktionsumgebung.

Die Secrets Manager Manager-Rotation verwendet eine AWS Lambda Funktion, um das Geheimnis und die Datenbank zu aktualisieren. Hinweise zu den Kosten der Verwendung einer Lambda-Funktion finden Sie unter Preisgestaltung.

Berechtigungen

Als Teil der Voraussetzungen für das Tutorial benötigen Sie Administratorberechtigungen für Ihr AWS-Konto. In einer Produktionsumgebung ist es eine bewährte Methode, für jeden der Schritte verschiedene Rollen zu verwenden. Beispielsweise würde eine Rolle mit Datenbank-Administratorberechtigungen die Amazon-RDS-Datenbank erstellen, und eine Rolle mit Netzwerk-Administratorberechtigungen würde die VPC und Sicherheitsgruppen einrichten. Für die Tutorial-Schritte empfehlen wir Ihnen, weiterhin dieselbe Identität zu verwenden.

Informationen zum Einrichten von Berechtigungen in einer Produktionsumgebung finden Sie unter Authentifizierung und Zugriffskontrolle für AWS Secrets Manager.

Voraussetzungen

Voraussetzung für dieses Tutorial ist Richten Sie eine wechselnde Benutzerrotation ein für AWS Secrets Manager. Bereinigen Sie die Ressourcen am Ende des ersten Tutorials nicht. Nach diesem Tutorial haben Sie eine realistische Umgebung mit einer Amazon-RDS-Datenbank und einem Secrets-Manager-Secret, das Admin-Anmeldeinformationen für die Datenbank enthält. Sie haben auch ein zweites Secret, das Anmeldeinformationen für einen Datenbankbenutzer enthält, aber Sie verwenden dieses Secret in diesem Tutorial nicht.

Sie haben auch eine Verbindung in MySQL Workbench konfiguriert, um sich mit den Administrator-Anmeldeinformationen mit der Datenbank zu verbinden.

Schritt 1: Erstellen eines Amazon-RDS-Datenbankbenutzers

Zuerst benötigen Sie einen Benutzer, dessen Anmeldeinformationen im Geheimnis gespeichert werden. Um den Benutzer zu erstellen, melden Sie sich bei der Amazon-RDS-Datenbank mit Admin-Anmeldeinformationen an, die in einem Secret gespeichert sind. Der Einfachheit halber erstellen Sie im Tutorial einen Benutzer mit voller Berechtigung für eine Datenbank. In einer Produktionsumgebung ist dies nicht typisch, und wir empfehlen, dem Prinzip der geringsten Berechtigung zu folgen.

So rufen Sie das Admin-Passwort ab

  1. Gehen Sie in der Amazon-RDS-Konsole zu Ihrer Datenbank.

  2. Wählen Sie auf der Registerkarte Configuration (Konfiguration) unter Master Credentials ARN (Master-Anmeldeinformationen-ARN) die Option Manage in Secrets Manager (In Secrets Manager verwalten) aus.

    Die Secrets-Manager-Konsole wird geöffnet.

  3. Wählen Sie auf der Seite „Secret details“ (Secret-Details) die Option Retrieve secret value (Secret-Wert abrufen) aus.

  4. Das Passwort wird im Abschnitt Secret value (Secret-Wert) angezeigt.

So erstellen Sie einen Datenbankbenutzer

  1. Klicken Sie in MySQL Workbench mit der rechten Maustaste auf die Verbindung SecretsManagerTutorialund wählen Sie dann Verbindung bearbeiten.

  2. Geben Sie im Dialogfeld Manage Server Connections (Serververbindungen verwalten) für Username (Benutzername) admin ein und wählen Sie dann Close (Schließen) aus.

  3. Zurück in MySQL Workbench wählen Sie die Verbindung SecretsManagerTutorialaus.

  4. Geben Sie das Admin-Passwort ein, das Sie aus dem Secret abgerufen haben.

  5. Geben Sie in MySQL Workbench im Fenster Query (Abfragen) die folgenden Befehle (einschließlich eines sicheren Passworts) ein und wählen Sie dann Execute (Ausführen) aus.

    CREATE USER 'dbuser'@'%' IDENTIFIED BY 'EXAMPLE-PASSWORD';
GRANT ALL PRIVILEGES ON myDB . * TO 'dbuser'@'%';

    Im Fenster Output (Ausgabe) sehen Sie, dass die Befehle erfolgreich sind.

Schritt 2: Erstellen eines Secrets für die Benutzer-Anmeldeinformationen

Als Nächstes erstellen Sie ein Secret zum Speichern der Anmeldeinformationen des gerade erstellten Benutzers. Secrets Manager rotiert das Secret, was bedeutet, dass das Passwort programmgesteuert generiert wird – kein Mensch hat dieses neue Passwort gesehen. Da die Rotation sofort beginnt, können Sie auch feststellen, ob die Rotation richtig eingerichtet ist.

  1. Öffnen Sie die Secrets-Manager-Konsole unterhttps://console.aws.amazon.com/secretsmanager/.

  2. Wählen Sie Store a new secret (Ein neues Secret speichern).

  3. Führen Sie auf der Seite Choose secret type (Secret-Typ auswählen) die folgenden Schritte aus:

    1. Wählen Sie für Secret type (Geheimnistyp) Credentials for Amazon RDS database (Anmeldedaten für die Amazon-RDS-Datenbank) aus.

    2. Geben Sie für Credentials (Anmeldeinformationen) den Benutzernamen dbuser und das Passwort ein, das Sie für den Datenbankbenutzer eingegeben haben, den Sie mit MySQL Workbench erstellt haben.

    3. Wählen Sie für Database (Datenbank) secretsmanagertutorialdb aus.

    4. Wählen Sie Weiter aus.

  4. Geben Sie auf der Seite Configure secret (Secret konfigurieren) für Secret name (Secret-Name) SecretsManagerTutorialDbuser ein und wählen Sie dann Next (Weiter) aus.

  5. Führen Sie auf der Seite Configure rotation (Drehung konfigurieren) die folgenden Schritte aus:

    1. Schalten Sie die automatische Rotation ein.

    2. Legen Sie für Rotation schedule (Drehungsplan) einen Zeitplan von Days (Tagen) fest: 2 Tage mit Duration (Dauer): 2h. Behalten Sie die Auswahl Rotate immediately (Sofort drehen) bei.

    3. Wählen Sie für Rotation function (Drehungsfunktion) Create a rotation function (Drehungsfunktion erstellen) und geben Sie dann als Funktionsnamen tutorial-single-user-rotation ein.

    4. Wählen Sie für die Rotationsstrategie Einzelbenutzer aus.

    5. Wählen Sie Weiter aus.

  6. Wählen Sie auf der Seite Review (Überprüfung) Store (Speichern) aus.

    Secrets Manager kehrt zur Seite mit den geheimen Details zurück. Oben auf der Seite sehen Sie den Status der Drehungskonfiguration. Secrets Manager erstellt CloudFormation damit Ressourcen wie die Lambda-Rotationsfunktion und eine Ausführungsrolle, die die Lambda-Funktion ausführt. Wenn der Vorgang CloudFormation abgeschlossen ist, ändert sich das Banner in Secret, das zur Rotation geplant ist. Die erste Drehung ist abgeschlossen.

Schritt 3: Testen des rotierten Passworts

Nach der ersten Geheimnis-Drehung, die einige Sekunden dauern kann, können Sie überprüfen, ob das Geheimnis immer noch gültige Anmeldeinformationen enthält. Das Passwort im Geheimnis hat sich gegenüber den ursprünglichen Anmeldeinformationen geändert.

So rufen Sie das neue Passwort aus dem Geheimnis ab

  1. Öffnen Sie die Secrets-Manager-Konsole unterhttps://console.aws.amazon.com/secretsmanager/.

  2. Wählen Sie Secrets (Geheimnisse) und dann das Geheimnis SecretsManagerTutorialDbuser aus.

  3. Scrollen Sie auf der Seite Secret details (Geheimnis-Details) nach unten und wählen Sie Retrieve secret value (Geheimnis-Wert abrufen) aus.

  4. Kopieren Sie in der Tabelle Key/value (Schlüssel/Wert) den Secret value (Geheimnis-Wert) für password.

So testen Sie die Anmeldeinformationen

  1. Klicken Sie in MySQL Workbench mit der rechten Maustaste auf die Verbindung SecretsManagerTutorialund wählen Sie dann Verbindung bearbeiten.

  2. Geben Sie im Dialogfeld Manage Server Connections (Serververbindungen verwalten) für Username (Benutzername) dbuser ein und wählen Sie dann Close (Schließen) aus.

  3. Zurück in MySQL Workbench wählen Sie die Verbindung SecretsManagerTutorialaus.

  4. Fügen Sie im Dialogfeld Open SSH Connection (SSH-Verbindung öffnen) für Password (Passwort) das Passwort ein, das Sie aus dem Geheimnis abgerufen haben, und wählen Sie dann OK aus.

    Wenn die Anmeldeinformationen gültig sind, wird MySQL Workbench zur Entwurfsseite für die Datenbank geöffnet.

Schritt 4: Bereinigen von Ressourcen

Um mögliche Gebühren zu vermeiden, löschen Sie das Geheimnis, das Sie in diesem Tutorial erstellt haben. Anweisungen finden Sie unter Ein AWS Secrets Manager Geheimnis löschen.

Informationen zum Bereinigen von Ressourcen, die im vorherigen Tutorial erstellt wurden, finden Sie unter Schritt 4: Bereinigen von Ressourcen.

Nächste Schritte