Richtlinien AWS Identity and Access Management (IAM) für RDS Proxy einrichten - Amazon Relational Database Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richtlinien AWS Identity and Access Management (IAM) für RDS Proxy einrichten

Nachdem Sie die Secrets in Secrets Manager erstellt haben, erstellen Sie eine IAM Richtlinie, die auf diese Secrets zugreifen kann. Allgemeine Informationen zur Verwendung von IAM finden Sie unterIdentitäts- und Zugriffsmanagement für Amazon RDS.

Tipp

Das folgende Verfahren gilt, wenn Sie die IAM Konsole verwenden. Wenn Sie das AWS Management Console für verwendenRDS, RDS kann die IAM Richtlinie automatisch für Sie erstellt werden. In diesem Fall können Sie das folgende Verfahren überspringen.

Um eine IAM Richtlinie zu erstellen, die auf Ihre Secrets Manager Manager-Geheimnisse zur Verwendung mit Ihrem Proxy zugreift
  1. Melden Sie sich bei der IAM Konsole an. Aktualisieren Sie für die neue Rolle die Berechtigungsrichtlinie. Verwenden Sie dieselben allgemeinen Verfahren wie unter IAMRichtlinien bearbeiten. Fügen Sie Folgendes JSON in das JSON Textfeld ein. Ersetzen Sie die Vorgabe durch Ihre eigene Konto-ID. Ersetzen Sie Ihre AWS Region durchus-east-2. Ersetzen Sie die von Ihnen erstellten Geheimnisse durch die Amazon-Ressourcennamen (ARNs), siehe KMSSchlüssel in IAM Richtlinienanweisungen angeben. Ersetzen Sie für die kms:Decrypt Aktion ARN den Standardschlüssel AWS KMS key oder Ihren eigenen KMS Schlüssel. Welchen ARN Sie verwenden, hängt davon ab, welchen Sie zum Verschlüsseln der Secrets von Secrets Manager verwendet haben.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": [ "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_1", "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_2" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-east-2:account_id:key/key_id", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com" } } } ] }
  2. Folgen Sie dem Prozess „Rolle erstellen“, wie unter IAMRollen erstellen beschrieben, und wählen Sie „Rolle erstellen, um Berechtigungen an einen AWS Dienst zu delegieren“ aus.

    Wählen Sie als Typ vertrauenswürdiger Entitäten die Option AWS -Service aus. Wählen Sie unter Anwendungsfall die Option Anwendungsfälle für andere AWS Dienste RDSaus. Wählen Sie RDS— Rolle zur Datenbank hinzufügen.

  3. Bearbeiten Sie die Vertrauensrichtlinie für diese IAM Rolle. Fügen Sie Folgendes JSON in das JSON Textfeld ein.

    { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "rds.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Die folgenden Befehle führen dieselbe Operation über die durc AWS CLI.

PREFIX=my_identifier USER_ARN=$(aws sts get-caller-identity --query "Arn" --output text) aws iam create-role --role-name my_role_name \ --assume-role-policy-document '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"Service":["rds.amazonaws.com"]},"Action":"sts:AssumeRole"}]}' ROLE_ARN=arn:aws:iam::account_id:role/my_role_name aws iam put-role-policy --role-name my_role_name \ --policy-name $PREFIX-secret-reader-policy --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": [ "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_1", "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_2" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-east-2:account_id:key/key_id", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com" } } } ] }