Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menyiapkan otentikasi database dan akses sumber daya secara manual
Proses manual untuk menyiapkan otentikasi database dan akses sumber daya memiliki langkah-langkah berikut:
Proses ini opsional, dan melakukan tugas yang sama seperti diMenyiapkan otentikasi database dan akses sumber daya menggunakan skrip. Kami merekomendasikan menggunakan skrip.
Membuat yang dikelola pelanggan AWS KMS key
Ikuti prosedur dalam Membuat kunci enkripsi simetris untuk membuat kunci yang dikelola pelangganKMS. Anda juga dapat menggunakan kunci yang ada jika memenuhi persyaratan ini.
Untuk membuat kunci yang dikelola pelanggan KMS
-
Masuk ke AWS Management Console dan buka AWS KMS konsol di https://console.aws.amazon.com/kms
. -
Arahkan ke halaman kunci terkelola Pelanggan.
-
Pilih Buat kunci.
-
Pada halaman tombol Konfigurasi:
-
Untuk Key type, pilih Symmetric.
-
Untuk penggunaan Kunci, pilih Enkripsi dan dekripsi.
-
Pilih Berikutnya.
-
-
Pada halaman Tambahkan label, masukkan Alias seperti
limitless
, lalu pilih Berikutnya. -
Pada halaman Tentukan izin administratif kunci, pastikan kotak centang Izinkan administrator kunci untuk menghapus kunci ini dipilih, lalu pilih Berikutnya.
-
Pada halaman Tentukan izin penggunaan kunci, pilih Berikutnya.
-
Pada halaman Ulasan, pilih Selesai.
Anda memperbarui kebijakan kunci nanti.
Rekam Nama Sumber Daya Amazon (ARN) dari KMS kunci yang akan digunakanMenambahkan kebijakan izin IAM peran.
Untuk informasi tentang penggunaan AWS CLI untuk membuat kunci yang dikelola pelanggan, lihat KMS create-key dan create-alias
Membuat rahasia database
Untuk memungkinkan utilitas pemuatan data mengakses tabel database sumber dan tujuan, Anda membuat dua rahasia di AWS Secrets Manager: satu untuk database sumber dan satu untuk database tujuan. Rahasia ini menyimpan nama pengguna dan kata sandi untuk mengakses basis data sumber dan tujuan.
Ikuti prosedur di Buat AWS Secrets Manager rahasia untuk membuat rahasia pasangan kunci-nilai.
Untuk membuat rahasia database
Buka konsol Secrets Manager di https://console.aws.amazon.com/secretsmanager/
. -
Pilih Simpan rahasia baru.
-
Pada halaman Pilih jenis rahasia:
-
Untuk tipe Rahasia, pilih Jenis rahasia lainnya.
-
Untuk pasangan kunci/nilai, pilih tab Plaintext.
-
Masukkan JSON kode berikut, di mana
dansourcedbreader
merupakan kredensi untuk pengguna basis data sumber dari. Buat kredensi basis data sumbersourcedbpassword
{ "username":"
sourcedbreader
", "password":"sourcedbpassword
" } -
Untuk kunci Enkripsi, pilih KMS kunci yang Anda buatMembuat yang dikelola pelanggan AWS KMS key, misalnya
limitless
. -
Pilih Berikutnya.
-
-
Pada halaman Konfigurasi rahasia, masukkan nama Rahasia, seperti
source_DB_secret
, lalu pilih Berikutnya. -
Pada halaman Konfigurasi rotasi - opsional, pilih Berikutnya.
-
Pada halaman Review, pilih Store.
-
Ulangi prosedur untuk rahasia database tujuan:
-
Masukkan JSON kode berikut, dari mana
dandestinationdbwriter
merupakan kredensi untuk pengguna database tujuan. Buat kredenal database tujuandestinationdbpassword
{ "username":"
destinationdbwriter
", "password":"destinationdbpassword
" } -
Masukkan nama Rahasia, seperti
destination_DB_secret
.
-
ARNsCatat rahasia untuk digunakanMenambahkan kebijakan izin IAM peran.
Menciptakan IAM peran
Pemuatan data mengharuskan Anda untuk menyediakan akses ke AWS sumber daya. Untuk memberikan akses, Anda membuat aurora-data-loader
IAM peran dengan mengikuti prosedur dalam Membuat peran untuk mendelegasikan izin kepada pengguna. IAM
Untuk membuat IAM peran
Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/
. -
Arahkan ke halaman Peran.
-
Pilih Buat peran.
-
Pada halaman Pilih entitas tepercaya:
-
Untuk jenis entitas Tepercaya, pilih Kebijakan kepercayaan khusus.
-
Masukkan JSON kode berikut untuk kebijakan kepercayaan khusus:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "rds.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }
-
Pilih Berikutnya.
-
-
Pada halaman Tambahkan izin, pilih Berikutnya.
-
Pada halaman Nama, tinjau, dan buat:
-
Untuk nama Peran, masukkan
aurora-data-loader
atau nama lain yang Anda inginkan. -
Pilih Tambah tag, dan masukkan tag berikut:
-
Kunci:
assumer
-
Nilai:
aurora_limitless_table_data_load
penting
Database Aurora Postgre SQL Limitless hanya dapat mengambil IAM peran yang memiliki tag ini.
-
-
Pilih Buat peran.
-
Memperbarui yang dikelola pelanggan AWS KMS key
Ikuti prosedur di Mengubah kebijakan kunci untuk menambahkan IAM peran aurora-data-loader
ke kebijakan kunci default.
Untuk menambahkan IAM peran ke kebijakan kunci
-
Masuk ke AWS Management Console dan buka AWS KMS konsol di https://console.aws.amazon.com/kms
. -
Arahkan ke halaman kunci terkelola Pelanggan.
-
Pilih KMS kunci yang Anda buatMembuat yang dikelola pelanggan AWS KMS key, misalnya
limitless
. -
Pada tab Kebijakan kunci, untuk pengguna kunci, pilih Tambah.
-
Di jendela Tambah pengguna kunci, pilih nama IAM peran yang Anda buatMenciptakan IAM peran, misalnya aurora-data-loader.
-
Pilih Tambahkan.
Menambahkan kebijakan izin IAM peran
Anda harus menambahkan kebijakan izin ke IAM peran yang Anda buat. Hal ini memungkinkan utilitas pemuatan data Aurora Postgre SQL Limitless Database untuk mengakses AWS sumber daya terkait untuk membangun koneksi jaringan dan mengambil rahasia kredensi DB sumber dan tujuan.
Untuk informasi selengkapnya, lihat Memodifikasi peran.
Untuk menambahkan kebijakan izin
Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/
. -
Arahkan ke halaman Peran.
-
Pilih IAM peran yang Anda buatMenciptakan IAM peran, misalnya aurora-data-loader.
-
Pada tab Izin, untuk kebijakan Izin pilih Tambahkan izin, lalu Buat kebijakan sebaris.
-
Pada halaman Tentukan izin, pilih JSONeditor.
-
Salin dan tempel template berikut ke JSON editor, ganti placeholder dengan rahasia dan KMS kunci database Anda. ARNs
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Ec2Permission", "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterfacePermission", "ec2:DescribeNetworkInterfacePermissions", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DescribeNetworkInterfaceAttribute", "ec2:DescribeAvailabilityZones", "ec2:DescribeRegions", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeNetworkAcls" ], "Resource": "*" }, { "Sid": "SecretsManagerPermissions", "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": [ "arn:aws:secretsmanager:us-east-1:
123456789012
:secret:source_DB_secret-ABC123
", "arn:aws:secretsmanager:us-east-1:123456789012
:secret:destination_DB_secret-456DEF
" ] }, { "Sid": "KmsPermissions", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:DescribeKey", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:us-east-1:123456789012
:key/aa11bb22-####-####-####-fedcba123456
" }, { "Sid": "RdsPermissions", "Effect": "Allow", "Action": [ "rds:DescribeDBClusters", "rds:DescribeDBInstances" ], "Resource": "*" } ] } -
Periksa kesalahan dan perbaiki.
-
Pilih Berikutnya.
-
Pada halaman Tinjau dan buat, masukkan nama Kebijakan seperti
data_loading_policy
, lalu pilih Buat kebijakan.