Membuat kebijakan dan peran akses rahasia - Amazon Aurora

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat kebijakan dan peran akses rahasia

Ikuti prosedur di bawah ini untuk membuat kebijakan dan peran akses rahasia Anda yang memungkinkan DMS untuk mengakses kredensi pengguna untuk basis data sumber dan target Anda.

Untuk membuat kebijakan dan peran akses rahasia, yang memungkinkan Amazon mengakses RDS AWS Secrets Manager untuk mengakses rahasia Anda yang sesuai
  1. Masuk ke AWS Management Console dan buka konsol AWS Identity and Access Management (IAM) di https://console.aws.amazon.com/iam/.

  2. Pilih Kebijakan, lalu pilih Buat kebijakan.

  3. Pilih JSONdan masukkan kebijakan berikut untuk mengaktifkan akses dan dekripsi rahasia Anda.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": secret_arn, }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": kms_key_arn, } ] }

    Di sini, secret_arn adalah rahasia Anda, yang bisa Anda dapatkan dari yang SecretsManagerSecretId sesuai, dan kms_key_arn merupakan AWS KMS kunci yang Anda gunakan untuk mengenkripsi rahasia Anda, seperti pada contoh berikut. ARN ARN

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MySQLTestSecret-qeHamH" }, { "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey" ], "Resource": "arn:aws:kms:us-east-2:123456789012:key/761138dc-0542-4e58-947f-4a3a8458d0fd" } ] }
    catatan

    Jika Anda menggunakan kunci enkripsi default yang dibuat oleh AWS Secrets Manager, Anda tidak perlu menentukan AWS KMS izin untukkms_key_arn.

    Jika Anda ingin kebijakan Anda menyediakan akses ke kedua rahasia, cukup tentukan objek JSON sumber daya tambahan untuk yang lainsecret_arn.

  4. Tinjau dan buat kebijakan dengan nama yang dikenal dan deskripsi opsional.

  5. Pilih Peran, lalu pilih Buat peran.

  6. Pilih layanan AWS sebagai jenis entitas terpercaya.

  7. Pilih DMSdari daftar layanan sebagai layanan tepercaya, lalu pilih Berikutnya: Izin.

  8. Cari dan lampirkan kebijakan yang Anda buat di langkah 4, lalu lanjutkan dengan menambahkan tag dan tinjau peran Anda. Pada titik ini, edit hubungan kepercayaan untuk peran tersebut untuk menggunakan prinsipal layanan RDS regional Amazon Anda sebagai entitas tepercaya. Prinsipal ini memiliki format berikut.

    dms.region-name.amazonaws.com

    Di sini, region-name adalah nama wilayah Anda, seperti us-east-1. Dengan demikian, kepala layanan RDS regional Amazon untuk wilayah ini mengikuti.

    dms.us-east-1.amazonaws.com dms-data-migrations.amazonaws.com