Configurazione manuale dell'autenticazione del database e dell'accesso alle risorse - Amazon Aurora
Creazione della chiave KMSCreazione dei segreti del databaseCreazione del ruolo IAMAggiornamento della chiave KMSAggiungere le politiche di autorizzazione dei ruoli IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurazione manuale dell'autenticazione del database e dell'accesso alle risorse

Il processo manuale per configurare l'autenticazione del database e l'accesso alle risorse prevede i seguenti passaggi:

  1. Creazione del file gestito dal cliente AWS KMS key

  2. Aggiungere le politiche di autorizzazione dei ruoli IAM

  3. Creazione dei segreti del database

  4. Creazione del ruolo IAM

  5. Aggiornamento della versione gestita dal cliente AWS KMS key

Questo processo è facoltativo ed esegue le stesse attività di cui sopraConfigurazione dell'autenticazione del database e dell'accesso alle risorse tramite uno script. Si consiglia di utilizzare lo script.

Creazione del file gestito dal cliente AWS KMS key

Segui le procedure in Creazione di chiavi di crittografia simmetriche per creare una chiave KMS gestita dal cliente. Puoi anche utilizzare una chiave esistente se soddisfa questi requisiti.

Per creare una chiave KMS gestita dal cliente

  1. Accedi a AWS Management Console e apri la AWS KMS console su /kms. https://console.aws.amazon.com

  2. Vai alla pagina delle chiavi gestite dal cliente.

  3. Scegliere Create key (Crea chiave).

  4. Nella pagina Configura chiave:

    1. Per Tipo di chiave, seleziona Symmetric.

    2. Per Utilizzo della chiave, seleziona Crittografa e decrittografa.

    3. Scegli Next (Successivo).

  5. Nella pagina Aggiungi etichette, inserisci un alias comelimitless, quindi scegli Avanti.

  6. Nella pagina Definisci le autorizzazioni amministrative chiave, assicurati che la casella di controllo Consenti agli amministratori chiave di eliminare questa chiave sia selezionata, quindi scegli Avanti.

  7. Nella pagina Definisci le autorizzazioni per utilizzare le chiavi scegli Avanti.

  8. Nella pagina Review (Rivedi), scegliere Finish (Fine).

    La politica chiave verrà aggiornata in un secondo momento.

Registra gli Amazon Resource Names (ARN) della chiave KMS da utilizzare. Aggiungere le politiche di autorizzazione dei ruoli IAM

Per informazioni sull'utilizzo di per AWS CLI creare la chiave KMS gestita dal cliente, consulta create-key e create-alias.

Creazione dei segreti del database

Per consentire all'utilità di caricamento dei dati di accedere alle tabelle del database di origine e di destinazione, è necessario creare due segreti in AWS Secrets Manager: uno per il database di origine e uno per il database di destinazione. Questi segreti memorizzano i nomi utente e le password per accedere ai database di origine e di destinazione.

Segui le procedure in Creare un AWS Secrets Manager segreto per creare i segreti della coppia chiave-valore.

Per creare i segreti del database

  1. Apri la console Secrets Manager all'indirizzo https://console.aws.amazon.com/secretsmanager/.

  2. Scegli Archivia un nuovo segreto.

  3. Nella pagina Scegli il tipo di segreto:

    1. Per Tipo segreto, seleziona Altro tipo di segreto.

    2. Per le coppie chiave/valore, scegliete la scheda Testo semplice.

    3. Immettete il seguente codice JSON, dove sourcedbreader e sourcedbpassword da dove provengono le credenziali per l'utente del database di origine. Crea le credenziali del database di origine

      {
    "username":"sourcedbreader",
    "password":"sourcedbpassword"
}

    4. Per la chiave di crittografia, scegli la chiave KMS in cui hai creatoCreazione del file gestito dal cliente AWS KMS key, ad esempio. limitless

    5. Scegli Next (Successivo).

  4. Nella pagina Configura segreto, inserisci un nome segreto, ad esempiosource_DB_secret, quindi scegli Avanti.

  5. Nella pagina Configura rotazione - opzionale, scegli Avanti.

  6. Nella pagina Review (Rivedi), scegli Store (Archivia).

  7. Ripeti la procedura per il segreto del database di destinazione:

    1. Inserisci il seguente codice JSON, dove destinationdbwriter e destinationdbpassword sono le credenziali per l'utente del database di destinazione. Crea le credenziali del database di destinazione

      {
    "username":"destinationdbwriter",
    "password":"destinationdbpassword"
}

    2. Inserisci un nome segreto, ad esempio. destination_DB_secret

Registra ARNs i segreti da utilizzareAggiungere le politiche di autorizzazione dei ruoli IAM.

Creazione del ruolo IAM

Il caricamento dei dati richiede l'accesso alle AWS risorse. Per fornire l'accesso, crei il ruolo aurora-data-loader IAM seguendo le procedure in Creazione di un ruolo per delegare le autorizzazioni a un utente IAM.

Per creare il ruolo IAM

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo. https://console.aws.amazon.com/iam/

  2. Vai alla pagina Ruoli.

  3. Scegliere Crea ruolo.

  4. Nella pagina Seleziona entità attendibile:

    1. Per il tipo di entità affidabile, seleziona Criteri di attendibilità personalizzati.

    2. Inserisci il seguente codice JSON per la politica di fiducia personalizzata:

      JSON
      {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "rds.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

    3. Scegli Next (Successivo).

  5. Nella pagina Add permissions (Aggiungi autorizzazioni), scegli Next (Successivo).

  6. Nella pagina Nome, rivedi e crea:

    1. Per il nome del ruolo, inserisci aurora-data-loader o un altro nome che preferisci.

    2. Scegli Aggiungi tag e inserisci il seguente tag:

      • Chiave: assumer

      • Value (Valore): aurora_limitless_table_data_load

      Importante

      L'Aurora PostgreSQL Limitless Database può assumere solo un ruolo IAM con questo tag.

    3. Scegliere Crea ruolo.

Aggiornamento della versione gestita dal cliente AWS KMS key

Segui le procedure in Modifica di una politica chiave per aggiungere il ruolo IAM aurora-data-loader alla politica chiave predefinita.

Per aggiungere il ruolo IAM alla policy chiave

  1. Accedi a AWS Management Console e apri la AWS KMS console su https://console.aws.amazon.com/kms.

  2. Vai alla pagina delle chiavi gestite dal cliente.

  3. Scegli, ad esempiolimitless, la chiave KMS che hai creato inCreazione del file gestito dal cliente AWS KMS key.

  4. Nella scheda Politica chiave, per Utenti chiave, scegli Aggiungi.

  5. Nella finestra Aggiungi utenti chiave, seleziona il nome del ruolo IAM in cui hai creatoCreazione del ruolo IAM, ad esempio aurora-data-loader.

  6. Scegli Aggiungi.

Aggiungere le politiche di autorizzazione dei ruoli IAM

Devi aggiungere politiche di autorizzazione al ruolo IAM che hai creato. Ciò consente all'utilità di caricamento dei dati di Aurora PostgreSQL Limitless Database di accedere alle AWS risorse correlate per creare connessioni di rete e recuperare i segreti delle credenziali DB di origine e destinazione.

Per ulteriori informazioni, consulta Modifica un ruolo.

Per aggiungere le politiche di autorizzazione

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Vai alla pagina Ruoli.

  3. Scegli, ad esempioCreazione del ruolo IAM, il ruolo IAM in cui hai creato aurora-data-loader.

  4. Nella scheda Autorizzazioni, per Politiche di autorizzazione scegli Aggiungi autorizzazioni, quindi Crea politica in linea.

  5. Nella pagina Specificare le autorizzazioni, scegli l'editor JSON.

  6. Copia e incolla il seguente modello nell'editor JSON, sostituendo i segnaposto con i segreti del database e ARNs la chiave KMS.

    JSON
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Ec2Permission",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkAcls"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:123456789012:secret:source_DB_secret-ABC123",
                "arn:aws:secretsmanager:us-east-1:123456789012:secret:destination_DB_secret-456DEF"
            ]
        },        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/aa11bb22-####-####-####-fedcba123456"
        },
        {
            "Sid": "RdsPermissions",
            "Effect": "Allow",
            "Action": [
                "rds:DescribeDBClusters",
                "rds:DescribeDBInstances"
            ],
            "Resource": "*"
        }
    ]
}

  7. Verifica la presenza di errori e correggili.

  8. Scegli Next (Successivo).

  9. Nella pagina Rivedi e crea, inserisci il nome di una politicadata_loading_policy, ad esempio, quindi scegli Crea politica.