Gestion des mots de passe avec RDSAmazon et AWS Secrets Manager - Amazon Relational Database Service
LimitesPrésentationAvantagesAutorisations requises pour l'intégration de Secrets ManagerRenforcer la gestion d'RDSGestion du mot de passe d'utilisateur principal pour une instance de base de donnéesGestion du mot de passe d'utilisateur principal pour un cluster de bases de données multi-AZRotation du secret de mot de passe d'utilisateur principal pour une instance de base de donnéesRotation du secret de mot de passe d'utilisateur principal pour un cluster de bases de données multi-AZAffichage des détails concernant un secret pour une instance de base de donnéesAffichage des détails concernant un secret pour un cluster de bases de données multi-AZDisponibilité des régions et des versions

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des mots de passe avec RDSAmazon et AWS Secrets Manager

Amazon RDS Amazon s'intègre à Secrets Manager pour gérer les mots de passe des utilisateurs principaux pour vos instances de base de données et vos clusters de bases de données multi-AZ.

Limites de l'intégration de Secrets Manager à Amazon RDS

La gestion des mots de passe d'utilisateur principal à l'aide de Secrets Manager n'est pas prise en charge pour les fonctionnalités suivantes :

  • Création d'une réplique en lecture lorsque la base de données source ou le cluster de base de données gère les informations d'identification avec Secrets Manager. Cela s'applique à tous les moteurs de base de données à l'RDSexception SQL de Server.

  • RDSDéploiements Amazon Blue/Green

  • Amazon RDS personnalisé

  • Basculement Oracle Data Guard

  • RDSpour Oracle avec CDB

Présentation de la gestion des mots de passe des utilisateurs principaux avec AWS Secrets Manager

Vous pouvez AWS Secrets Manager ainsi remplacer les informations d'identification codées en dur dans votre code, y compris les mots de passe de base de données, par un API appel au Secrets Manager pour récupérer le secret par programmation. Pour plus d'informations sur Secrets Manager, consultez le Guide de l'utilisateur AWS Secrets Manager.

Lorsque vous stockez des secrets de base de données dans Secrets Manager, des frais Compte AWS vous sont facturés. Pour plus d’informations sur la tarification, consultez Tarification AWS Secrets Manager.

Vous pouvez spécifier qu'RDS gère le mot de passe de l'utilisateur principal dans Secrets Manager pour une instance de base de RDS données Amazon ou un cluster de base de données multi-AZ (cluster de ) lorsque vous effectuez l'une des opérations suivantes :

  • Création de l'instance de base de données

  • Création du cluster de bases de données multi-AZ

  • Modification de l'instance de base de données

  • Modification du cluster de bases de données multi-AZ

  • Restauration de l'instance de base de données à partir d'Amazon S3

Lorsque vous spécifiez qu'RDS gère le mot de passe de l'utilisateur principal dans Secrets Manager, RDS génère le mot de passe et le stocke dans Secrets Manager. Vous pouvez interagir directement avec le secret pour récupérer les informations d'identification de l'utilisateur principal. Vous pouvez également spécifier une clé gérée par le client pour chiffrer le secret, ou utiliser la KMS clé fournie par Secrets Manager.

RDS gère les paramètres du secret et fait pivoter le secret tous les sept jours par défaut. Vous pouvez modifier certains paramètres, tels que la planification de la rotation. Si vous supprimez une instance de base de données qui gère un secret dans Secrets Manager, le secret et les métadonnées associées sont également supprimés.

Pour vous connecter à un cluster de bases de données multi-AZ ou à une instance de base de données avec les informations d'identification contenues dans un secret, vous pouvez récupérer le secret à partir de Secrets Manager. Pour plus d'informations, voir Extraire des secrets depuis une base de données AWS Secrets Manager et Se connecter à une SQL base de données avec des informations d'identification inscrites dans un AWS Secrets Manager secret dans le Guide de AWS Secrets Manager l'utilisateur.

Avantages de la gestion des mots de passe d'utilisateur principal avec Secrets Manager

La gestion des mots de passe des utilisateurs principaux RDS avec Secrets Manager offre les avantages suivants :

  • RDS génère automatiquement les informations d'identification de base de données.

  • RDS stocke et gère automatiquement les informations d'identification de la base de données dans AWS Secrets Manager.

  • RDS change régulièrement les informations d'identification de la base de données, sans qu'il soit nécessaire de modifier l'application.

  • Secrets Manager sécurise les informations d'identification de base de données contre tout accès humain et tout affichage en texte brut.

  • Secrets Manager permet de récupérer les informations d'identification de base de données dans des secrets pour les connexions à une base de données.

  • Secrets Manager permet un contrôle précis de l'accès aux informations d'identification de la base de données lors de l'utilisation de secrets. IAM

  • Vous pouvez éventuellement séparer le chiffrement de la base de données du chiffrement des informations d'identification à l'aide de KMS clés différentes.

  • Vous pouvez éliminer la gestion et la rotation manuelles des informations d'identification de base de données.

  • Vous pouvez facilement surveiller les informations d'identification de la base AWS CloudTrail de données avec Amazon CloudWatch.

Pour en savoir plus sur les avantages de Secrets Manager, consultez le Guide de l'utilisateur AWS Secrets Manager.

Autorisations requises pour l'intégration de Secrets Manager

Les utilisateurs doivent disposer des autorisations requises pour effectuer des opérations liées à l'intégration de Secrets Manager. Vous pouvez créer des IAM politiques qui accordent des autorisations pour effectuer des API opérations spécifiques sur les ressources spécifiques dont ils ont besoin. Vous pouvez ensuite associer ces politiques aux ensembles IAM d'autorisations ou aux rôles qui nécessitent ces autorisations. Pour de plus amples informations, veuillez consulter Gestion des identités et des accès pour Amazon RDS.

Pour les opérations de création, de modification ou de restauration, l'utilisateur qui indique qu'Amazon RDS gère le mot de passe de l'utilisateur principal dans Secrets Manager doit être autorisé à effectuer les opérations suivantes :

  • kms:DescribeKey

  • secretsmanager:CreateSecret

  • secretsmanager:TagResource

L'kms:DescribeKeyautorisation est requise pour accéder à votre clé gérée par le client pour MasterUserSecretKmsKeyId et pour décrire. aws/secretsmanager

Pour les opérations de création, de modification ou de restauration, l'utilisateur qui spécifie la clé gérée par le client pour chiffrer le secret dans Secrets Manager doit avoir les autorisations nécessaires pour effectuer les opérations suivantes :

  • kms:Decrypt

  • kms:GenerateDataKey

  • kms:CreateGrant

Pour les opérations de modification, l'utilisateur qui effectue la rotation du mot de passe d'utilisateur principal dans Secrets Manager doit être autorisé à effectuer l'opération suivante :

  • secretsmanager:RotateSecret

Application de la gestion par RDS du mot de passe de l'utilisateur principal dans AWS Secrets Manager

Vous pouvez utiliser des clés de IAM condition pour appliquer la gestion par RDS du mot de passe de l'utilisateur principal dans AWS Secrets Manager. La politique suivante n'autorise pas les utilisateurs à créer ou à restaurer des instances de base de données ou des clusters de base de données, sauf si le mot de passe de l'utilisateur principal est géré par RDS dans Secrets Manager.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": ["rds:CreateDBInstance", "rds:CreateDBCluster", "rds:RestoreDBInstanceFromS3", "rds:RestoreDBClusterFromS3"],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "rds:ManageMasterUserPassword": false
                }
            }
        }
    ]
}
Note

Cette politique impose la gestion des mots de passe dès AWS Secrets Manager leur création. Toutefois, vous pouvez toujours désactiver l'intégration de Secrets Manager et définir manuellement un mot de passe principal en modifiant l'instance.

Pour éviter cela, incluez rds:ModifyDBInstance, rds:ModifyDBCluster dans le bloc action de la politique. Sachez que cela empêche l'utilisateur d'appliquer d'autres modifications aux instances existant(e)s n'ayant pas l'intégration de Secrets Manager activée.

Pour plus d'informations sur l'utilisation des clés de condition dans IAM les politiques, consultez Clés de conditions de politique pour Amazon RDS etExemples de politiques : Utilisation des clés de condition.

Gestion du mot de passe d'utilisateur principal pour une instance de base de données avec Secrets Manager

Vous pouvez configurer la RDS gestion du mot de passe de l'utilisateur principal dans Secrets Manager en effectuant les actions suivantes :

Vous pouvez utiliser la RDS console AWS CLI, le ou le RDS API pour effectuer ces actions.

Suivez les instructions pour créer ou modifier une instance de base de données avec la RDS console :

Lorsque vous utilisez la RDS console pour effectuer l'une de ces opérations, vous pouvez spécifier que le mot de passe de l'utilisateur principal est géré par RDS Secrets Manager. Pour ce faire, lorsque vous créez ou restaurez une instance de base de données, sélectionnez Manage master credentials in AWS Secrets Manager (Gérer les informations d'identification principales dans ) dans Credential settings (Paramètres des informations d'identification). Lorsque vous modifiez une instance de base de données, sélectionnez Manage master credentials in AWS Secrets Manager (Gérer les informations d'identification principales dans ) dans Settings (Paramètres).

L'image suivante est un exemple du paramètre Manage master credentials in AWS Secrets Manager (Gérer les informations d'identification principales dans ) lors de la création ou de la restauration d'une instance de base de données.

Gérez les informations d'identification principales dans AWS Secrets Manager

Lorsque vous sélectionnez cette option, il RDS génère le mot de passe de l'utilisateur principal et le gère tout au long de son cycle de vie dans Secrets Manager.

Gérer les informations d'identification principales dans les options AWS Secrets Manager sélectionnées

Vous pouvez choisir de chiffrer le secret avec une KMS clé fournie par Secrets Manager ou avec une clé gérée par le client que vous créez. Après avoir RDS géré les informations d'identification de base de données pour une instance de base de données, vous ne pouvez pas modifier la KMS clé utilisée pour chiffrer le secret.

Vous pouvez choisir d'autres paramètres en fonction de vos besoins. Pour plus d'informations sur les paramètres disponibles quand vous créez une instance de base de données, consultez Paramètres des instances de base de données. Pour plus d'informations sur les paramètres disponibles quand vous modifiez une instance de base de données, consultez Paramètres des instances de base de données.

Pour gérer le mot de passe de l'utilisateur principal RDS dans Secrets Manager, spécifiez l'--manage-master-user-passwordoption dans l'une des AWS CLI commandes suivantes :

Lorsque vous spécifiez l'--manage-master-user-passwordoption dans ces commandes, il RDS génère le mot de passe de l'utilisateur principal et le gère tout au long de son cycle de vie dans Secrets Manager.

Pour chiffrer le secret, vous pouvez spécifier une clé gérée par le client ou utiliser la KMS clé par défaut fournie par Secrets Manager. Utilisez l'option --master-user-secret-kms-key-id pour spécifier une clé gérée par le client. L'identifiant de AWS KMS clé est la cléARN, l'identifiant de clé, l'alias ARN ou le nom d'alias de la KMS clé. Pour utiliser une KMS clé dans une autre Compte AWS, spécifiez la clé ARN ou l'aliasARN. Après avoir RDS géré les informations d'identification de base de données pour une instance de base de données, vous ne pouvez pas modifier la KMS clé utilisée pour chiffrer le secret.

Vous pouvez choisir d'autres paramètres en fonction de vos besoins. Pour plus d'informations sur les paramètres disponibles quand vous créez une instance de base de données, consultez Paramètres des instances de base de données. Pour plus d'informations sur les paramètres disponibles quand vous modifiez une instance de base de données, consultez Paramètres des instances de base de données.

Cet exemple crée une instance de base de données et indique qu'RDS gère le mot de passe de l'utilisateur principal dans Secrets Manager. Le secret est chiffré à l'aide de la KMS clé fournie par Secrets Manager.

Dans Linux, macOS, ou Unix:

aws rds create-db-instance \
    --db-instance-identifier mydbinstance \
    --engine mysql \
    --engine-version 8.0.30 \
    --db-instance-class db.r5b.large \
    --allocated-storage 200 \
    --manage-master-user-password

Dans Windows:

aws rds create-db-instance ^
    --db-instance-identifier mydbinstance ^
    --engine mysql ^
    --engine-version 8.0.30 ^
    --db-instance-class db.r5b.large ^
    --allocated-storage 200 ^
    --manage-master-user-password

Pour spécifier qui RDS gère le mot de passe de l'utilisateur principal dans Secrets Manager, définissez le ManageMasterUserPassword paramètre sur true lors de l'une des RDS API opérations suivantes :

Lorsque vous définissez le ManageMasterUserPassword paramètre sur true dans l'une de ces opérations, il RDS génère le mot de passe de l'utilisateur principal et le gère tout au long de son cycle de vie dans Secrets Manager.

Pour chiffrer le secret, vous pouvez spécifier une clé gérée par le client ou utiliser la KMS clé par défaut fournie par Secrets Manager. Utilisez le paramètre MasterUserSecretKmsKeyId pour spécifier une clé gérée par le client. L'identifiant de AWS KMS clé est la cléARN, l'identifiant de clé, l'alias ARN ou le nom d'alias de la KMS clé. Pour utiliser une KMS clé dans une autre Compte AWS, spécifiez la clé ARN ou l'aliasARN. Après avoir RDS géré les informations d'identification de base de données pour une instance de base de données, vous ne pouvez pas modifier la KMS clé utilisée pour chiffrer le secret.

Gestion du mot de passe d'utilisateur principal pour un cluster de bases de données multi-AZ avec Secrets Manager

Vous pouvez configurer la gestion du mot de passe de l'utilisateur principal par RDS dans Secrets Manager en effectuant les actions suivantes :

Vous pouvez utiliser la RDS console AWS CLI, le ou le RDS API pour effectuer ces actions.

Suivez les instructions pour créer ou modifier un cluster de base de données multi-AZ avec la RDS console :

Lorsque vous utilisez la RDS console pour effectuer l'une de ces opérations, vous pouvez spécifier que le mot de passe de l'utilisateur principal est géré par RDS dans Secrets Manager. Pour ce faire, lorsque vous créez un cluster de bases de données, sélectionnez Manage master credentials in AWS Secrets Manager (Gérer les informations d'identification principales dans ) dans Credential settings (Paramètres des informations d'identification). Lorsque vous modifiez un cluster de bases de données, sélectionnez Manage master credentials in AWS Secrets Manager (Gérer les informations d'identification principales dans ) dans Settings (Paramètres).

L'image suivante est un exemple du paramètre Manage master credentials in AWS Secrets Manager (Gérer les informations d'identification principales dans ) lors de la création d'un cluster de bases de données.

Gérez les informations d'identification principales dans AWS Secrets Manager

Lorsque vous sélectionnez cette option, RDS génère le mot de passe de l'utilisateur principal et le gère tout au long de son cycle de vie dans Secrets Manager.

Gérer les informations d'identification principales dans les options AWS Secrets Manager sélectionnées

Vous pouvez choisir de chiffrer le secret avec une KMS clé fournie par Secrets Manager ou avec une clé gérée par le client que vous créez. Une fois qu'RDS a géré les informations d'identification de base de données pour un cluster de base de données, vous ne pouvez pas modifier la KMS clé utilisée pour chiffrer le secret.

Vous pouvez choisir d'autres paramètres en fonction de vos besoins.

Pour plus d'informations sur les paramètres disponibles quand vous créez un cluster de bases de données multi-AZ, consultez Paramètres de création de clusters de base de données multi-AZ. Pour plus d'informations sur les paramètres disponibles quand vous modifiez un cluster de bases de données multi-AZ, consultez Paramètres de modification des clusters de base de données multi-AZ.

Pour indiquer qu'RDS gère le mot de passe de l'utilisateur principal dans Secrets Manager, spécifiez l'--manage-master-user-passwordoption dans l'une des commandes suivantes :

Lorsque vous spécifiez l'--manage-master-user-passwordoption dans ces commandes, RDS génère le mot de passe de l'utilisateur principal et le gère tout au long de son cycle de vie dans Secrets Manager.

Pour chiffrer le secret, vous pouvez spécifier une clé gérée par le client ou utiliser la KMS clé par défaut fournie par Secrets Manager. Utilisez l'option --master-user-secret-kms-key-id pour spécifier une clé gérée par le client. L'identifiant de AWS KMS clé est la cléARN, l'identifiant de clé, l'alias ARN ou le nom d'alias de la KMS clé. Pour utiliser une KMS clé dans une autre Compte AWS, spécifiez la clé ARN ou l'aliasARN. Une fois qu'RDS a géré les informations d'identification de base de données pour un cluster de base de données, vous ne pouvez pas modifier la KMS clé utilisée pour chiffrer le secret.

Vous pouvez choisir d'autres paramètres en fonction de vos besoins.

Pour plus d'informations sur les paramètres disponibles quand vous créez un cluster de bases de données multi-AZ, consultez Paramètres de création de clusters de base de données multi-AZ. Pour plus d'informations sur les paramètres disponibles quand vous modifiez un cluster de bases de données multi-AZ, consultez Paramètres de modification des clusters de base de données multi-AZ.

Cet exemple crée un cluster de base de données multi-AZ et indique qu'RDS gère le mot de passe dans Secrets Manager. Le secret est chiffré à l'aide de la KMS clé fournie par Secrets Manager.

Dans Linux, macOS, ou Unix:

aws rds create-db-cluster \
   --db-cluster-identifier mysql-multi-az-db-cluster \
   --engine mysql \
   --engine-version 8.0.28  \
   --backup-retention-period 1  \
   --allocated-storage 4000 \
   --storage-type io1 \
   --iops 10000 \
   --db-cluster-instance-class db.r6gd.xlarge \
   --manage-master-user-password

Dans Windows:

aws rds create-db-cluster ^
   --db-cluster-identifier mysql-multi-az-db-cluster ^
   --engine mysql ^
   --engine-version 8.0.28 ^
   --backup-retention-period 1 ^
   --allocated-storage 4000 ^
   --storage-type io1 ^
   --iops 10000 ^
   --db-cluster-instance-class db.r6gd.xlarge ^
   --manage-master-user-password

Pour indiquer qu'RDS gère le mot de passe de l'utilisateur principal dans Secrets Manager, définissez le ManageMasterUserPassword paramètre sur true lors de l'une des opérations suivantes :

Lorsque vous définissez le ManageMasterUserPassword paramètre sur true lors de l'une de ces opérations, RDS génère le mot de passe de l'utilisateur principal et le gère tout au long de son cycle de vie dans Secrets Manager.

Pour chiffrer le secret, vous pouvez spécifier une clé gérée par le client ou utiliser la KMS clé par défaut fournie par Secrets Manager. Utilisez le paramètre MasterUserSecretKmsKeyId pour spécifier une clé gérée par le client. L'identifiant de AWS KMS clé est la cléARN, l'identifiant de clé, l'alias ARN ou le nom d'alias de la KMS clé. Pour utiliser une KMS clé dans une autre Compte AWS, spécifiez la clé ARN ou l'aliasARN. Une fois qu'RDS a géré les informations d'identification de base de données pour un cluster de base de données, vous ne pouvez pas modifier la KMS clé utilisée pour chiffrer le secret.

Rotation du secret de mot de passe d'utilisateur principal pour une instance de base de données

Lorsque RDS le secret du mot de passe d'un utilisateur principal change, Secrets Manager génère une nouvelle version du secret existant. La nouvelle version du secret contient le nouveau mot de passe d'utilisateur principal. Amazon RDS modifie le mot de passe de l'utilisateur principal de l'instance de base de données afin qu'il corresponde au mot de passe de la nouvelle version secrète.

Vous pouvez effectuer immédiatement la rotation d'un secret au lieu d'attendre une rotation planifiée. Pour effectuer la rotation d'un secret de mot de passe d'utilisateur principal dans Secrets Manager, modifiez l'instance de base de données. Pour savoir comment modifier une instance de base de données, consultez Modification d'une RDS instance de base de données Amazon.

Vous pouvez immédiatement faire pivoter le secret du mot de passe d'un utilisateur principal à l'aide de la RDS console AWS CLI, du ou du RDSAPI. Le nouveau mot de passe comporte toujours 28 caractères, dont au moins une majuscule et une minuscule, un chiffre et un signe de ponctuation.

Pour faire pivoter le secret d'un mot de passe utilisateur principal à l'aide de la RDS console, modifiez l'instance de base de données et sélectionnez immédiatement Rotation du secret dans les paramètres.

Effectuer immédiatement une rotation du secret de mot de passe d'utilisateur principal

Suivez les instructions pour modifier une instance de base de données avec la RDS console inséréeModification d'une RDS instance de base de données Amazon. Vous devez choisir Apply immediately (Appliquer immédiatement) sur la page de confirmation.

Pour faire pivoter le secret du mot de passe d'un utilisateur principal à l'aide de AWS CLI, utilisez la modify-db-instancecommande et spécifiez l'--rotate-master-user-passwordoption. Vous devez spécifier l'option --apply-immediately lorsque vous effectuez la rotation du mot de passe principal.

Cet exemple effectue la rotation d'un secret de mot de passe d'utilisateur principal.

Dans Linux, macOS, ou Unix:

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --rotate-master-user-password \
    --apply-immediately

Dans Windows:

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --rotate-master-user-password ^
    --apply-immediately

Vous pouvez faire pivoter le secret du mot de passe d'un utilisateur principal à l'aide de odifyDBInstance l'opération M et en définissant le RotateMasterUserPassword paramètre surtrue. Vous devez affecter au paramètre ApplyImmediately la valeur true lorsque vous effectuez la rotation du mot de passe principal.

Rotation du secret de mot de passe d'utilisateur principal pour un cluster de bases de données multi-AZ

Lorsqu'RDS change le secret du mot de passe d'un utilisateur principal, Secrets Manager génère une nouvelle version du secret existant. La nouvelle version du secret contient le nouveau mot de passe d'utilisateur principal. Amazon RDS modifie le mot de passe de l'utilisateur principal du cluster de base de données multi-AZ afin qu'il corresponde au mot de passe de la nouvelle version secrète.

Vous pouvez effectuer immédiatement la rotation d'un secret au lieu d'attendre une rotation planifiée. Pour effectuer la rotation d'un secret de mot de passe d'utilisateur principal dans Secrets Manager, modifiez le cluster de bases de données multi-AZ. Pour obtenir des informations sur la modification d'un cluster de bases de données multi-AZ, consultez Modification d'un cluster de base de données multi-AZ pour Amazon RDS.

Vous pouvez immédiatement faire pivoter le secret du mot de passe d'un utilisateur principal à l'aide de la RDS console AWS CLI, du ou du RDSAPI. Le nouveau mot de passe comporte toujours 28 caractères, dont au moins une majuscule et une minuscule, un chiffre et un signe de ponctuation.

Pour faire pivoter le secret d'un mot de passe utilisateur principal à l'aide de la RDS console, modifiez le cluster de base de données multi-AZ et sélectionnez Rotation du secret immédiatement dans les paramètres.

Effectuer immédiatement une rotation du secret de mot de passe d'utilisateur principal

Suivez les instructions pour modifier un cluster de base de données multi-AZ avec la RDS console intégrée. Modification d'un cluster de base de données multi-AZ pour Amazon RDS Vous devez choisir Apply immediately (Appliquer immédiatement) sur la page de confirmation.

Pour faire pivoter le secret du mot de passe d'un utilisateur principal à l'aide de AWS CLI, utilisez la modify-db-clustercommande et spécifiez l'--rotate-master-user-passwordoption. Vous devez spécifier l'option --apply-immediately lorsque vous effectuez la rotation du mot de passe principal.

Cet exemple effectue la rotation d'un secret de mot de passe d'utilisateur principal.

Dans Linux, macOS, ou Unix:

aws rds modify-db-cluster \
    --db-cluster-identifier mydbcluster \
    --rotate-master-user-password \
    --apply-immediately

Dans Windows:

aws rds modify-db-cluster ^
    --db-cluster-identifier mydbcluster ^
    --rotate-master-user-password ^
    --apply-immediately

Vous pouvez faire pivoter le secret du mot de passe d'un utilisateur principal à l'aide de odifyDBCluster l'opération M et en définissant le RotateMasterUserPassword paramètre surtrue. Vous devez affecter au paramètre ApplyImmediately la valeur true lorsque vous effectuez la rotation du mot de passe principal.

Affichage des détails concernant un secret pour une instance de base de données

Vous pouvez récupérer vos secrets à l'aide de la console (https://console.aws.amazon.com/secretsmanager/) ou de la commande AWS CLI (get-secret-valueSecrets Manager).

Vous pouvez trouver le nom de ressource Amazon (ARN) d'un secret géré par RDS dans Secrets Manager avec la RDS console, le AWS CLI, ou le RDSAPI.

Pour consulter les détails d'un secret géré par RDS dans Secrets Manager

  1. Connectez-vous à la RDS console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/rds/.

  2. Dans le panneau de navigation, choisissez Databases (Bases de données).

  3. Sélectionnez le nom de l'instance de base de données pour afficher ses détails.

  4. Cliquez sur l’onglet Configuration.

    Dans Master Credentials ARN, vous pouvez consulter le secretARN.

    Afficher les détails d'un secret géré par RDS dans Secrets Manager

    Vous pouvez suivre le lien Manage in Secrets Manager (Gérer dans Secrets Manager) pour consulter et gérer le secret dans la console Secrets Manager.

Vous pouvez utiliser cette describe-db-instancesRDSCLIcommande pour trouver les informations suivantes concernant un secret géré par RDS Secrets Manager :

  • SecretArn— Le ARN secret

  • SecretStatus : le statut du secret

    Les valeurs de statut possibles incluent les suivantes :

    • creating : le secret est en cours de création.

    • active : le secret est disponible pour une utilisation et une rotation normales.

    • rotating : la rotation du secret est en cours.

    • impaired : le secret peut être utilisé pour accéder aux informations d'identification de base de données, mais il est impossible d'effectuer sa rotation. Un secret peut avoir ce statut si, par exemple, les autorisations sont modifiées afin qu'il ne soit plus RDS possible d'accéder au secret ou à la KMS clé du secret.

      Lorsqu'un secret possède ce statut, vous pouvez corriger la condition à l'origine de ce statut. Si vous corrigez la condition à l'origine du statut, celui-ci reste impaired jusqu'à la rotation suivante. Vous pouvez également modifier l'instance de base de données pour désactiver la gestion automatique des informations d'identification de base de données, puis modifier à nouveau l'instance de base de données pour activer la gestion automatique des informations d'identification de base de données. Pour modifier l'instance de base de données, utilisez l'--manage-master-user-passwordoption de la modify-db-instancecommande.

  • KmsKeyId— La ARN KMS clé utilisée pour chiffrer le secret

Spécifiez l'option --db-instance-identifier permettant d'afficher la sortie pour une instance de base de données spécifique. Cet exemple montre la sortie d'un secret utilisé par une instance de base de données.

aws rds describe-db-instances --db-instance-identifier mydbinstance

Voici un exemple de sortie pour un secret :

"MasterUserSecret": {
                "SecretArn": "arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx",
                "SecretStatus": "active",
                "KmsKeyId": "arn:aws:kms:eu-west-1:123456789012:key/0987dcba-09fe-87dc-65ba-ab0987654321"
            }

Lorsque vous avez le secretARN, vous pouvez consulter les détails le concernant à l'aide de la CLI commande get-secret-valueSecrets Manager.

Cet exemple montre les détails du secret dans l'exemple de sortie précédent.

Dans Linux, macOS, ou Unix:

aws secretsmanager get-secret-value \
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

Dans Windows:

aws secretsmanager get-secret-value ^
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

Vous pouvez afficher le ARN statut et la KMS clé d'un secret géré par RDS dans Secrets Manager en utilisant l'escribeDBInstancesopération D et en définissant le DBInstanceIdentifier paramètre sur un identifiant d'instance de base de données. Les détails sur le secret sont inclus dans la sortie.

Lorsque vous avez le secretARN, vous pouvez consulter les détails le concernant à l'aide de l'opération GetSecretValueSecrets Manager.

Affichage des détails concernant un secret pour un cluster de bases de données multi-AZ

Vous pouvez récupérer vos secrets à l'aide de la console (https://console.aws.amazon.com/secretsmanager/) ou de la commande AWS CLI (get-secret-valueSecrets Manager).

Vous pouvez trouver le nom de ressource Amazon (ARN) d'un secret géré par RDS dans Secrets Manager avec la RDS console, le AWS CLI, ou le RDSAPI.

Pour consulter les détails d'un secret géré par RDS dans Secrets Manager

  1. Connectez-vous à la RDS console Amazon AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/rds/.

  2. Dans le panneau de navigation, choisissez Databases (Bases de données).

  3. Choisissez le nom du cluster de bases de données multi-AZ pour afficher ses détails.

  4. Cliquez sur l’onglet Configuration.

    Dans Master Credentials ARN, vous pouvez consulter le secretARN.

    Afficher les détails d'un secret géré par RDS dans Secrets Manager

    Vous pouvez suivre le lien Manage in Secrets Manager (Gérer dans Secrets Manager) pour consulter et gérer le secret dans la console Secrets Manager.

Vous pouvez utiliser la RDS AWS CLI describe-db-clusterscommande pour trouver les informations suivantes sur un secret géré par RDS dans Secrets Manager :

  • SecretArn— Le ARN secret

  • SecretStatus : le statut du secret

    Les valeurs de statut possibles incluent les suivantes :

    • creating : le secret est en cours de création.

    • active : le secret est disponible pour une utilisation et une rotation normales.

    • rotating : la rotation du secret est en cours.

    • impaired : le secret peut être utilisé pour accéder aux informations d'identification de base de données, mais il est impossible d'effectuer sa rotation. Un secret peut avoir ce statut si, par exemple, les autorisations sont modifiées afin qu'il ne soit plus RDS possible d'accéder au secret ou à la KMS clé du secret.

      Lorsqu'un secret possède ce statut, vous pouvez corriger la condition à l'origine de ce statut. Si vous corrigez la condition à l'origine du statut, celui-ci reste impaired jusqu'à la rotation suivante. Vous pouvez également modifier le cluster de bases de données pour désactiver la gestion automatique des informations d'identification de base de données, puis modifier à nouveau le cluster de bases de données pour activer la gestion automatique des informations d'identification de base de données. Pour modifier le cluster de base de données, utilisez l'--manage-master-user-passwordoption de la modify-db-clustercommande.

  • KmsKeyId— La ARN KMS clé utilisée pour chiffrer le secret

Spécifiez l'option --db-cluster-identifier permettant d'afficher la sortie pour un cluster de bases de données spécifique. Cet exemple montre la sortie d'un secret utilisé par un cluster de bases de données.

aws rds describe-db-clusters --db-cluster-identifier mydbcluster

L'exemple suivant montre la sortie pour un secret :

"MasterUserSecret": {
                "SecretArn": "arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx",
                "SecretStatus": "active",
                "KmsKeyId": "arn:aws:kms:eu-west-1:123456789012:key/0987dcba-09fe-87dc-65ba-ab0987654321"
            }

Lorsque vous avez le secretARN, vous pouvez consulter les détails le concernant à l'aide de la CLI commande get-secret-valueSecrets Manager.

Cet exemple montre les détails du secret dans l'exemple de sortie précédent.

Dans Linux, macOS, ou Unix:

aws secretsmanager get-secret-value \
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

Dans Windows:

aws secretsmanager get-secret-value ^
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

Vous pouvez afficher le ARN statut et la KMS clé d'un secret géré par RDS dans Secrets Manager à l'aide de l'escribeDBClustersRDSopération D et en définissant le DBClusterIdentifier paramètre sur un identifiant de cluster de base de données. Les détails sur le secret sont inclus dans la sortie.

Lorsque vous avez le secretARN, vous pouvez consulter les détails le concernant à l'aide de l'opération GetSecretValueSecrets Manager.

Disponibilité des régions et des versions

La disponibilité et la prise en charge des fonctionnalités varient selon les versions spécifiques de chaque moteur de base de données, et selon les Régions AWS. Pour plus d'informations sur la disponibilité des versions et des régions avec l'intégration de Secrets Manager à AmazonRDS, consultezRégions et moteurs de base de données pris en charge pour l'intégration de Secrets Manager à Amazon RDS.