Membuat kebijakan dan peran akses rahasia - Layanan Basis Data Relasional Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat kebijakan dan peran akses rahasia

Ikuti prosedur di bawah ini untuk membuat kebijakan dan peran akses rahasia Anda yang memungkinkan DMS mengakses kredensi pengguna untuk basis data sumber dan target Anda.

Untuk membuat kebijakan dan peran akses rahasia, yang memungkinkan Amazon RDS mengakses AWS Secrets Manager untuk mengakses rahasia Anda yang sesuai

  1. Masuk ke AWS Management Console dan buka konsol AWS Identity and Access Management (IAM) di https://console.aws.amazon.com/iam/.

  2. Pilih Kebijakan, lalu pilih Buat kebijakan.

  3. Pilih JSON dan masukkan kebijakan berikut untuk mengaktifkan akses ke dan dekripsi rahasia Anda.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:us-east-1:111122223333:secret:SecretName-ABCDEF"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ]
}

    Di sini, secret_arn adalah ARN rahasia Anda, yang bisa Anda dapatkan dari yang SecretsManagerSecretId sesuai, dan kms_key_arn merupakan ARN dari AWS KMS kunci yang Anda gunakan untuk mengenkripsi rahasia Anda, seperti pada contoh berikut.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "arn:aws:secretsmanager:us-east-2:123456789012:secret:MySQLTestSecret-qeHamH"
        },
        {
             "Effect": "Allow",
             "Action": [
                        "kms:Decrypt",
                        "kms:DescribeKey"
                      ],
             "Resource": "arn:aws:kms:us-east-2:123456789012:key/761138dc-0542-4e58-947f-4a3a8458d0fd"
        }
     ]
}
    catatan

    Jika Anda menggunakan kunci enkripsi default yang dibuat oleh AWS Secrets Manager, Anda tidak perlu menentukan AWS KMS izin untukkms_key_arn.

    Jika Anda ingin kebijakan Anda menyediakan akses ke kedua rahasia, cukup tentukan objek sumber daya JSON tambahan untuk yang lainsecret_arn.

  4. Tinjau dan buat kebijakan dengan nama yang dikenal dan deskripsi opsional.

  5. Pilih Peran, lalu pilih Buat peran.

  6. Pilih layanan AWS sebagai jenis entitas terpercaya.

  7. Pilih DMS dari daftar layanan sebagai layanan terpercaya, lalu pilih Berikutnya: Izin.

  8. Cari dan lampirkan kebijakan yang Anda buat di langkah 4, lalu lanjutkan dengan menambahkan tag dan tinjau peran Anda. Pada titik ini, edit hubungan kepercayaan untuk peran tersebut untuk menggunakan prinsipal layanan regional Amazon RDS Anda sebagai entitas tepercaya. Prinsipal ini memiliki format berikut.

    dms.region-name.amazonaws.com

    Di sini, region-name adalah nama wilayah Anda, seperti us-east-1. Dengan demikian, kepala layanan regional Amazon RDS untuk wilayah ini mengikuti.

    dms.us-east-1.amazonaws.com
dms-data-migrations.amazonaws.com