Amazon DocumentDB と によるパスワード管理 AWS Secrets Manager - Amazon DocumentDB

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon DocumentDB と によるパスワード管理 AWS Secrets Manager

Amazon DocumentDB は Secrets Manager と統合して、クラスターのプライマリユーザーパスワードを管理します。

Secrets Manager と Amazon DocumentDB の統合に関する制限事項

Secrets Manager を使用したプライマリユーザーパスワードの管理は、以下の機能ではサポートされていません。

  • Amazon DocumentDB グローバルデータベースの一部であるクラスター

  • Amazon DocumentDB クロスリージョンリードレプリカ

を使用したプライマリユーザーパスワードの管理の概要 AWS Secrets Manager

を使用すると AWS Secrets Manager、データベースパスワードを含むコード内のハードコードされた認証情報を Secrets Manager への API コールに置き換えて、プログラムでシークレットを取得できます。Secrets Manager の詳細については、AWS Secrets Manager ユーザーガイドを参照してください。

Secrets Manager にデータベースシークレットを保存すると、 AWS アカウントで料金が発生します。料金については、「AWS Secrets Manager の料金」を参照してください。

次のいずれかの操作を実行するときに、Amazon DocumentDB が Amazon DocumentDB クラスターの Secrets Manager でプライマリユーザーパスワードを管理するように指定できます。

  • クラスターを作成する

  • クラスターを変更する

Amazon DocumentDB が Secrets Manager でプライマリユーザーパスワードを管理するように指定すると、Amazon DocumentDB はパスワードを生成して Secrets Manager に保存します。シークレットを直接操作して、プライマリユーザーの認証情報を取得できます。また、カスタマーマネージドキーを指定してシークレットを暗号化したり、Secrets Manager が提供する KMS キーを使用したりすることもできます。

Amazon DocumentDB はシークレットの設定を管理し、デフォルトで 7 日ごとにシークレットをローテーションします。ローテーションスケジュールなど、一部の設定を変更できます。Secrets Manager でシークレットを管理するクラスターを削除すると、シークレットと関連するメタデータも削除されます。

シークレット内の認証情報を使用してクラスターに接続するには、Secrets Manager からシークレットを取得できます。詳細については、「 AWS Secrets Manager ユーザーガイド」の「 シークレット AWS Secrets Managerの認証情報を使用して JDBC を使用して からシーク AWS Secrets Manager レットを取得し、SQL データベースに接続する」を参照してください。

でのプライマリユーザーパスワードの Amazon DocumentDB 管理の強制 AWS Secrets Manager

IAM 条件キーを使用して、プライマリユーザーパスワードの Amazon DocumentDB 管理を適用できます AWS Secrets Manager。次のポリシーでは、プライマリユーザーのパスワードが Secrets Manager の Amazon DocumentDB によって管理されていない限り、ユーザーがインスタンスまたはクラスターを作成または復元することはできません。

JSON
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "rds:CreateDBCluster" ], "Resource": "*", "Condition": { "Bool": { "rds:ManageMasterUserPassword": false } } } ] }

Secrets Manager を使用したクラスターのプライマリユーザーパスワードの管理

次のアクションを実行するときに、Secrets Manager でプライマリユーザーパスワードの Amazon DocumentDB 管理を設定できます。

Amazon DocumentDB コンソールまたは を使用して AWS CLI 、これらのアクションを実行できます。