Autorizzazione di accesso all’API dati di Amazon RDS - Amazon Aurora
Autorizzazione basata su tagArchiviazione delle credenziali in un segreto di Secrets Manager

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autorizzazione di accesso all’API dati di Amazon RDS

Gli utenti possono invocare le operazioni dell’API dati di Amazon RDS (API dati) solo se sono autorizzati a farlo. Puoi concedere a un utente l'autorizzazione a utilizzare Data API allegando una policy AWS Identity and Access Management (IAM) che ne definisce i privilegi. È inoltre possibile associare la policy a un ruolo se si utilizzano ruoli IAM. Una policy AWS gestita include AmazonRDSDataFullAccess le autorizzazioni per Data API.

La AmazonRDSDataFullAccess politica include anche le autorizzazioni da cui l'utente può ottenere il valore di un segreto. AWS Secrets Manager Gli utenti devono utilizzare Secrets Manager per archiviare i segreti che possono utilizzare nelle loro chiamate all’API dati. Utilizzare segreti significa che gli utenti non devono includere le credenziali del database per le risorse target nelle chiamate all’API dati. L’API dati chiama in modo trasparente Secrets Manager, che consente (o nega) la richiesta dell’utente per il segreto. Per informazioni sulla configurazione di segreti da utilizzare con l’API dati, consulta Archiviazione delle credenziali del database in AWS Secrets Manager.

La policy AmazonRDSDataFullAccess fornisce l’accesso completo (tramite l’API dati) alle risorse. Puoi restringere l'ambito definendo le tue policy che specificano l'Amazon Resource Name (ARN) di una risorsa.

Ad esempio, la policy seguente mostra un esempio delle autorizzazioni minime richieste per un utente per accedere all’API dati per il cluster di database identificato dal relativo ARN. La policy include le autorizzazioni necessarie per accedere Secrets Manager e ottenere l'autorizzazione all'istanza DB per l'utente.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "SecretsManagerDbCredentialsAccess",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue"
            ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:rds-db-credentials/*"
        },
        {
            "Sid": "RDSDataServiceAccess",
            "Effect": "Allow",
            "Action": [
                "rds-data:BatchExecuteStatement",
                "rds-data:BeginTransaction",
                "rds-data:CommitTransaction",
                "rds-data:ExecuteStatement",
                "rds-data:RollbackTransaction"
            ],
            "Resource": "arn:aws:rds:us-east-2:111122223333:cluster:prod"
        }
    ]
}

Si consiglia di utilizzare un ARN specifico per l'elemento "Risorse" nelle istruzioni delle policy (come illustrato nell'esempio) anziché un carattere jolly (*).

Utilizzo dell'autorizzazione basata su tag

L’API dati di RDS (API dati) e Secrets Manager supportano entrambi l’autorizzazione basata su tag. Itag sono coppie chiave-valore che etichettano una risorsa, ad esempio un cluster RDS, con un valore stringa aggiuntivo, ad esempio:

  • environment:production

  • environment:development

È possibile applicare tag alle risorse per l'allocazione dei costi, il supporto delle operazioni, il controllo degli accessi e molti altri motivi. Se non disponi già di tag sulle tue risorse e desideri applicarli, puoi saperne di più alla pagina Applicazione di tag alle risorse Amazon RDS. È possibile utilizzare i tag nelle istruzioni delle policy per limitare l'accesso ai cluster RDS etichettati con questi tag. Ad esempio, un cluster DB Aurora potrebbe avere tag che identificano l'ambiente come produzione o sviluppo.

Nell'esempio seguente viene illustrato come utilizzare i tag nelle istruzioni delle policy. Questa istruzione richiede che sia il cluster e il segreto passato nella richiesta API dati abbiano un tag environment:production.

Ecco come viene applicata la policy: quando un utente effettua una chiamata utilizzando l’API dati, la richiesta viene inviata al servizio. L’API dati verifica innanzitutto che l’ARN del cluster passato nella richiesta sia contrassegnato con environment:production. Quindi chiama Secrets Manager per recuperare il valore del segreto dell'utente nella richiesta. Secrets Manager verifica inoltre che il segreto dell'utente sia contrassegnato con environment:production. In tal caso, l'API dati utilizza quindi il valore recuperato per la password DB dell'utente. Infine, se anche questo è corretto, la richiesta dell'API dati viene richiamata correttamente per l'utente.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "SecretsManagerDbCredentialsAccess",
            "Effect": "Allow",
            "Action": [
                 "secretsmanager:GetSecretValue"
               ],
            "Resource": "arn:aws:secretsmanager:*:*:secret:rds-db-credentials/*",
            "Condition": {
                    "StringEquals": {
                        "aws:ResourceTag/environment": [
                                         "production"
                                        ]
                     }
             }
        },
        {
            "Sid": "RDSDataServiceAccess",
            "Effect": "Allow",
            "Action": [
                  "rds-data:*"
               ],
            "Resource": "arn:aws:rds:us-east-2:111122223333:cluster:*",
            "Condition": {
                    "StringEquals": {
                        "aws:ResourceTag/environment": [
                                         "production"
                                        ]
                     }
             }
         }
     ]
}

L’esempio mostra operazioni separate per rds-data e secretsmanager per l’API dati e Secrets Manager. Tuttavia, è possibile combinare azioni e definire le condizioni dei tag in molti modi diversi per supportare i casi d'uso specifici. Per ulteriori informazioni, consulta Utilizzo delle policy basate su identità (policy IAM) per Secrets Manager.

Nell'elemento "Condizione" delle policy, è possibile scegliere le chiavi tag tra le seguenti:

  • aws:TagKeys

  • aws:ResourceTag/${TagKey}

Per ulteriori informazioni sui tag delle risorse e su come utilizzarliaws:TagKeys, consulta Controllo dell'accesso alle AWS risorse tramite i tag delle risorse.

Nota

Sia Data API che AWS Secrets Manager autorizzano gli utenti. Se non si dispone delle autorizzazioni per tutte le azioni definite in una policy, viene visualizzato un errore AccessDeniedException.

Archiviazione delle credenziali del database in AWS Secrets Manager

Quando chiami l’API dati di Amazon RDS, passi le credenziali per il cluster di database Aurora usando un segreto in Secrets Manager. Per utilizzare questo metodo per passare le credenziali, specifica il nome del segreto o l'Amazon Resource Name (ARN) del segreto.

Per archiviare le credenziali del cluster database in un segreto

  1. Utilizzare Secrets Manager per creare un segreto contenente le credenziali per il cluster DB Aurora.

    Per le istruzioni, consulta Creazione di un segreto del database nella Guida per l'utente di AWS Secrets Manager .

  2. Usa la console Secrets Manager per visualizzare i dettagli del segreto che hai creato o esegui il aws secretsmanager describe-secret AWS CLI comando.

    Prendere nota del nome e dell'ARN del segreto, poiché possono essere utilizzati nelle chiamate all’API dati.

Per ulteriori informazioni relative all'utilizzo di Secrets Manager, consulta la Guida per l'utente di AWS Secrets Manager.

Per informazioni su come Amazon Aurora gestisce la gestione delle identità e degli accessi, consulta Come funziona Amazon Aurora con IAM.

Per informazioni sulla creazione di una policy IAM, consulta Creazione di policy IAM nella Guida per l'utente di IAM. Per informazioni sull'aggiunta di una policy IAM a un utente, consulta Aggiunta e rimozione di autorizzazioni per identità IAM nella Guida per l'utente di IAM.