Passwortverwaltung mit Amazon RDS und AWS Secrets Manager - Amazon Relational Database Service
EinschränkungenÜbersichtVorteileErforderliche Berechtigungen für die Integration von Secrets ManagerDurchsetzung des RDSVerwaltung des Hauptbenutzerpassworts für eine DB-InstanceVerwaltung des Hauptbenutzerpassworts für einen Multi-AZ-DB-ClusterRotieren des Hauptbenutzerpasswort-Secrets für eine DB-InstanceRotieren des Hauptbenutzerpasswort-Secrets für einen Multi-AZ-DB-ClusterAnzeigen der Details zu einem Secret für eine DB-InstanceAnzeigen der Details zu einem Secret für einen Multi-AZ-DB-ClusterVerfügbarkeit von Regionen und Versionen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Passwortverwaltung mit Amazon RDS und AWS Secrets Manager

Amazon RDS Amazon lässt sich in Secrets Manager integrieren, um Master-Benutzerkennwörter für Ihre DB-Instances und Multi-AZ-DB-Cluster zu verwalten.

Einschränkungen für die Secrets Manager Manager-Integration mit RDSAmazon

Die Verwaltung von Hauptpasswörtern mit Secrets Manager wird für die folgenden Funktionen nicht unterstützt:

  • Erstellen einer Read Replica, wenn die Quell-DB oder der DB-Cluster Anmeldeinformationen mit Secrets Manager verwaltet. Dies gilt für alle DB-Engines mit RDS Ausnahme von SQL Server.

  • Bereitstellungen von Amazon RDS Blue/Green

  • Amazon RDS Benutzerdefiniert

  • Umstellung auf Oracle Data Guard

  • RDSfür Oracle mit CDB

Überblick über die Verwaltung von Masterbenutzer-Passwörtern mit AWS Secrets Manager

Mit AWS Secrets Manager können Sie hartcodierte Anmeldeinformationen in Ihrem Code, einschließlich Datenbankkennwörtern, durch einen API Aufruf von Secrets Manager ersetzen, um das Geheimnis programmgesteuert abzurufen. Weitere Informationen zu Secrets Manager finden Sie im Benutzerhandbuch für AWS Secrets Manager.

Wenn Sie Datenbankgeheimnisse in Secrets Manager speichern, AWS-Konto fallen Gebühren an. Informationen zu Preisen erhalten Sie unter AWS Secrets Manager -Preise.

Sie können angeben, dass RDS das Master-Benutzerpasswort in Secrets Manager für eine RDSAmazon-DB-Instance oder einen Multi-AZ-DB-Cluster () verwaltet, wenn Sie einen der folgenden Vorgänge ausführen:

  • Die DB-Instance erstellen

  • Den Multi-AZ-DB-Cluster erstellen

  • Die DB-Instance ändern

  • Den Multi-AZ-DB-Cluster ändern

  • Die DB-Instance aus Amazon S3 wiederherstellen

Wenn Sie angeben, dass RDS das Master-Benutzerpasswort in Secrets Manager verwaltet, generiert RDS das Passwort und speichert es in Secrets Manager. Sie können direkt mit dem Secret interagieren, um die Anmeldeinformationen für den Hauptbenutzer abzurufen. Sie können auch einen vom Kunden verwalteten Schlüssel angeben, um das Geheimnis zu verschlüsseln, oder den von Secrets Manager bereitgestellten KMS Schlüssel verwenden.

RDS verwaltet die Einstellungen für das Geheimnis und wechselt das Geheimnis standardmäßig alle sieben Tage. Sie können einige Einstellungen ändern, wie zum Beispiel den Rotationsplan. Wenn Sie eine DB-Instance löschen, der ein Secret in Secrets Manager verwaltet, werden das Secret und die zugehörigen Metadaten ebenfalls gelöscht.

Um eine Verbindung mit einer DB-Instance oder einem Multi-AZ-DB-Cluster mit den Anmeldeinformationen in einem Secret herzustellen, können Sie das Secret von Secrets Manager abrufen. Weitere Informationen finden Sie im Benutzerhandbuch unter Abrufen von Geheimnissen aus AWS Secrets Manager und Herstellen einer Verbindung zu einer SQL Datenbank mit AWS Secrets Manager geheimen Anmeldeinformationen.AWS Secrets Manager

Vorteile der Verwaltung von Hauptbenutzerpasswörtern mit Secrets Manager

Die Verwaltung von RDS mit Secrets Manager bietet die folgenden Vorteile:

  • RDS generiert automatisch Datenbankanmeldedaten.

  • RDS speichert und verwaltet automatisch Datenbankanmeldedaten in AWS Secrets Manager.

  • RDS wechselt die Datenbankanmeldedaten regelmäßig, ohne dass Änderungen an der Anwendung erforderlich sind.

  • Secrets Manager schützt Datenbankanmeldeinformationen vor menschlichem Zugriff und der Klartextansicht.

  • Secrets Manager ermöglicht das Abrufen von Datenbankanmeldeinformationen in Secrets für Datenbankverbindungen.

  • Secrets Manager ermöglicht eine detaillierte Steuerung des Zugriffs auf Datenbankanmeldeinformationen in Secrets unter Verwendung von. IAM

  • Sie können optional die Datenbankverschlüsselung von der Verschlüsselung von Anmeldeinformationen mit unterschiedlichen KMS Schlüsseln trennen.

  • Sie können die manuelle Verwaltung und Rotation der Datenbankanmeldeinformationen vermeiden.

  • Sie können Datenbankanmeldedaten einfach mit AWS CloudTrail Amazon überwachen CloudWatch.

Weitere Informationen zu den Vorteilen von Secrets Manager finden Sie im Benutzerhandbuch für AWS Secrets Manager.

Erforderliche Berechtigungen für die Integration von Secrets Manager

Benutzer müssen über die erforderlichen Berechtigungen verfügen, um Operationen im Zusammenhang mit der Integration von Secrets Manager auszuführen. Sie können IAM Richtlinien erstellen, die Berechtigungen zur Ausführung bestimmter API Operationen an den angegebenen Ressourcen gewähren, die sie benötigen. Sie können diese Richtlinien dann den IAM Berechtigungssätzen oder Rollen zuordnen, für die diese Berechtigungen erforderlich sind. Weitere Informationen finden Sie unter Identitäts- und Zugriffsmanagement für Amazon RDS.

Für Erstellungs-, Änderungs- oder Wiederherstellungsvorgänge muss der Benutzer, der angibt, dass Amazon RDS das Masterbenutzer-Passwort in Secrets Manager verwaltet, über die erforderlichen Berechtigungen verfügen, um die folgenden Operationen auszuführen:

  • kms:DescribeKey

  • secretsmanager:CreateSecret

  • secretsmanager:TagResource

Die kms:DescribeKey Erlaubnis ist erforderlich, um auf Ihren vom Kunden verwalteten Schlüssel zuzugreifen MasterUserSecretKmsKeyId und ihn zu beschreibenaws/secretsmanager.

Für Erstellungs-, Änderungs- oder Wiederherstellungsoperationen muss der Benutzer, der den benutzerdefinierten Schlüssel zum Entschlüsseln des Secrets in Secrets Manager angibt, über entsprechende Berechtigungen für folgende Operationen verfügen:

  • kms:Decrypt

  • kms:GenerateDataKey

  • kms:CreateGrant

Für Änderungsoperationen muss der Benutzer, der das Hauptbenutzerpasswort in Secrets Manager rotiert, über entsprechende Berechtigungen für die folgende Operation verfügen:

  • secretsmanager:RotateSecret

Durchsetzung der RDS des Masterbenutzer-Passworts in AWS Secrets Manager

Sie können IAM Bedingungsschlüssel verwenden, um die RDS des Masterbenutzer-Passworts in zu erzwingen AWS Secrets Manager. Die folgende Richtlinie erlaubt es Benutzern nicht, DB-Instances oder DB-Cluster zu erstellen oder wiederherzustellen, es sei denn, das Masterbenutzerkennwort wird von RDS in Secrets Manager verwaltet.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": ["rds:CreateDBInstance", "rds:CreateDBCluster", "rds:RestoreDBInstanceFromS3", "rds:RestoreDBClusterFromS3"],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "rds:ManageMasterUserPassword": false
                }
            }
        }
    ]
}
Anmerkung

Diese Richtlinie erzwingt die Passwortverwaltung bereits AWS Secrets Manager bei der Erstellung. Sie können die Secrets-Manager-Integration jedoch nach wie vor deaktivieren und ein Hauptpasswort manuell festlegen, indem Sie die Instance ändern.

Um dies zu verhindern, nehmen Sie rds:ModifyDBInstance, rds:ModifyDBCluster in den Aktionsblock der Richtlinie auf. Beachten Sie, dass der Benutzer dadurch keine weiteren Änderungen an vorhandenen Instances vornehmen kann, für die die Secrets-Manager-Integration nicht aktiviert ist.

Weitere Informationen zur Verwendung von Bedingungsschlüsseln in IAM Richtlinien finden Sie unter Schlüssel zu den Versicherungsbedingungen für Amazon RDS undBeispielrichtlinien: Verwenden von Bedingungsschlüsseln.

Verwaltung des Hauptbenutzerpassworts für eine DB-Instance mit Secrets Manager

Sie können die RDS Verwaltung des Master-Benutzerpassworts in Secrets Manager konfigurieren, wenn Sie die folgenden Aktionen ausführen:

Sie können die RDS Konsole, die oder die verwenden AWS CLI, RDS API um diese Aktionen auszuführen.

Folgen Sie den Anweisungen zum Erstellen oder Ändern einer DB-Instance mit der RDS Konsole:

Wenn Sie die RDS Konsole verwenden, um einen dieser Vorgänge auszuführen, können Sie angeben, dass das Masterbenutzerkennwort RDS in Secrets Manager verwaltet wird. Wählen Sie dazu beim Erstellen oder Wiederherstellen einer DB-Instance Hauptanmeldeinformationen in AWS Secrets Manager verwalten unter Anmeldeinformationseinstellungen aus. Wenn Sie eine DB-Instance ändern, wählen Sie Hauptanmeldeinformationen in AWS Secrets Manager verwalten unter Einstellungen aus.

Die folgende Abbildung zeigt ein Beispiel für die Einstellung Hauptanmeldeinformationen in AWS Secrets Manager verwalten beim Erstellen oder Wiederherstellen einer DB-Instance.

Masteranmeldedaten verwalten in AWS Secrets Manager

Wenn Sie diese Option auswählen, RDS generiert das Masterbenutzerkennwort und verwaltet es während seines gesamten Lebenszyklus in Secrets Manager.

Hauptanmeldedaten verwalten in der AWS Secrets Manager ausgewählten

Sie können wählen, ob Sie das Geheimnis mit einem von Secrets Manager KMS bereitgestellten Schlüssel oder mit einem vom Kunden verwalteten Schlüssel, den Sie erstellen, verschlüsseln möchten. Nach RDS der Verwaltung der Datenbankanmeldedaten für eine DB-Instance können Sie den KMS Schlüssel, der zur Verschlüsselung des Geheimnisses verwendet wird, nicht mehr ändern.

Sie können andere Einstellungen auswählen, die Ihren Anforderungen entsprechen. Weitere Informationen zu den verfügbaren Einstellungen beim Erstellen einer DB-Instance finden Sie unter Einstellungen für DB-Instances. Weitere Informationen zu den verfügbaren Einstellungen beim Ändern einer DB-Instance finden Sie unter Einstellungen für DB-Instances.

Um das Masterbenutzerpasswort RDS in Secrets Manager zu verwalten, geben Sie die --manage-master-user-password Option in einem der folgenden AWS CLI Befehle an:

Wenn Sie die --manage-master-user-password Option in diesen Befehlen angeben, RDS generiert das Masterbenutzerkennwort und verwaltet es während seines gesamten Lebenszyklus in Secrets Manager.

Um das Geheimnis zu verschlüsseln, können Sie einen vom Kunden verwalteten Schlüssel angeben oder den KMS Standardschlüssel verwenden, der von Secrets Manager bereitgestellt wird. Verwenden Sie die --master-user-secret-kms-key-id-Option, um einen kundenverwalteten Schlüssel anzugeben. Die AWS KMS Schlüssel-ID ist der SchlüsselARN, die Schlüssel-ID, der Alias ARN oder der Aliasname für den KMS Schlüssel. Um einen KMS Schlüssel in einem anderen zu verwenden AWS-Konto, geben Sie den Schlüssel ARN oder den Alias anARN. Nachdem RDS Sie die Datenbankanmeldedaten für eine DB-Instance verwaltet haben, können Sie den KMS Schlüssel, der zur Verschlüsselung des Geheimnisses verwendet wird, nicht mehr ändern.

Sie können andere Einstellungen auswählen, die Ihren Anforderungen entsprechen. Weitere Informationen zu den verfügbaren Einstellungen beim Erstellen einer DB-Instance finden Sie unter Einstellungen für DB-Instances. Weitere Informationen zu den verfügbaren Einstellungen beim Ändern einer DB-Instance finden Sie unter Einstellungen für DB-Instances.

In diesem Beispiel wird eine DB-Instance erstellt und angegeben, dass RDS das Masterbenutzerkennwort in Secrets Manager verwaltet. Das Geheimnis wird mit dem KMS Schlüssel verschlüsselt, der von Secrets Manager bereitgestellt wird.

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Linux, macOS, oder Unix:

aws rds create-db-instance \
    --db-instance-identifier mydbinstance \
    --engine mysql \
    --engine-version 8.0.30 \
    --db-instance-class db.r5b.large \
    --allocated-storage 200 \
    --manage-master-user-password

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows:

aws rds create-db-instance ^
    --db-instance-identifier mydbinstance ^
    --engine mysql ^
    --engine-version 8.0.30 ^
    --db-instance-class db.r5b.large ^
    --allocated-storage 200 ^
    --manage-master-user-password

Um anzugeben, dass das Masterbenutzerpasswort in Secrets Manager RDS verwaltet wird, setzen Sie den ManageMasterUserPassword Parameter true in einer der folgenden RDS API Operationen auf:

Wenn Sie den ManageMasterUserPassword Parameter true in einer dieser Operationen auf setzen, RDS generiert das Masterbenutzerkennwort und verwaltet es während seines gesamten Lebenszyklus in Secrets Manager.

Um das Geheimnis zu verschlüsseln, können Sie einen vom Kunden verwalteten Schlüssel angeben oder den KMS Standardschlüssel verwenden, der von Secrets Manager bereitgestellt wird. Verwenden Sie den MasterUserSecretKmsKeyId-Parameter, um einen kundenverwalteten Schlüssel anzugeben. Die AWS KMS Schlüssel-ID ist der SchlüsselARN, die Schlüssel-ID, der Alias ARN oder der Aliasname für den KMS Schlüssel. Um einen KMS Schlüssel in einem anderen zu verwenden AWS-Konto, geben Sie den Schlüssel ARN oder den Alias anARN. Nachdem RDS Sie die Datenbankanmeldedaten für eine DB-Instance verwaltet haben, können Sie den KMS Schlüssel, der zur Verschlüsselung des Geheimnisses verwendet wird, nicht mehr ändern.

Verwaltung des Hauptbenutzerpassworts für einen Multi-AZ-DB-Cluster mit Secrets Manager

Sie können die RDS des Master-Benutzerpassworts in Secrets Manager konfigurieren, wenn Sie die folgenden Aktionen ausführen:

Sie können die RDS Konsole, die oder die verwenden AWS CLI, RDS API um diese Aktionen auszuführen.

Folgen Sie den Anweisungen zum Erstellen oder Ändern eines Multi-AZ-DB-Clusters mit der RDS Konsole:

Wenn Sie die RDS Konsole verwenden, um einen dieser Vorgänge auszuführen, können Sie angeben, dass das Masterbenutzerkennwort von RDS in Secrets Manager verwaltet wird. Wählen Sie dazu beim Erstellen eines DB-Clusters Hauptanmeldeinformationen in AWS Secrets Manager verwalten unter Anmeldeinformationseinstellungen aus. Wenn Sie einen DB-Cluster ändern, wählen Sie Hauptanmeldeinformationen in AWS Secrets Manager verwalten unter Einstellungen aus.

Die folgende Abbildung zeigt ein Beispiel für die Einstellung Hauptanmeldeinformationen in AWS Secrets Manager verwalten beim Erstellen eines DB-Clusters.

Masteranmeldedaten verwalten in AWS Secrets Manager

Wenn Sie diese Option auswählen, generiert RDS das Masterbenutzerkennwort und verwaltet es während seines gesamten Lebenszyklus in Secrets Manager.

Hauptanmeldedaten verwalten in der AWS Secrets Manager ausgewählten

Sie können wählen, ob Sie das Geheimnis mit einem von Secrets Manager KMS bereitgestellten Schlüssel oder mit einem vom Kunden verwalteten Schlüssel, den Sie erstellen, verschlüsseln möchten. Nachdem RDS die Datenbankanmeldedaten für einen DB-Cluster verwaltet hat, können Sie den KMS Schlüssel, der zur Verschlüsselung des Geheimnisses verwendet wird, nicht mehr ändern.

Sie können andere Einstellungen auswählen, die Ihren Anforderungen entsprechen.

Weitere Informationen zu den verfügbaren Einstellungen beim Erstellen eines Multi-AZ-DB-Clusters finden Sie unter Einstellungen zum Erstellen von Multi-AZ-DB-Clustern. Weitere Informationen zu den verfügbaren Einstellungen beim Ändern eines Multi-AZ-DB-Clusters finden Sie unter Einstellungen zum Ändern von Multi-AZ-DB-Clustern.

Um anzugeben, dass RDS das Master-Benutzerpasswort in Secrets Manager verwaltet, geben Sie die --manage-master-user-password Option in einem der folgenden Befehle an:

Wenn Sie die --manage-master-user-password Option in diesen Befehlen angeben, generiert RDS das Masterbenutzerkennwort und verwaltet es während seines gesamten Lebenszyklus in Secrets Manager.

Um das Geheimnis zu verschlüsseln, können Sie einen vom Kunden verwalteten Schlüssel angeben oder den KMS Standardschlüssel verwenden, der von Secrets Manager bereitgestellt wird. Verwenden Sie die --master-user-secret-kms-key-id-Option, um einen kundenverwalteten Schlüssel anzugeben. Die AWS KMS Schlüssel-ID ist der SchlüsselARN, die Schlüssel-ID, der Alias ARN oder der Aliasname für den KMS Schlüssel. Um einen KMS Schlüssel in einem anderen zu verwenden AWS-Konto, geben Sie den Schlüssel ARN oder den Alias anARN. Nachdem RDS die Datenbankanmeldedaten für einen DB-Cluster verwaltet hat, können Sie den KMS Schlüssel, der zur Verschlüsselung des Geheimnisses verwendet wird, nicht mehr ändern.

Sie können andere Einstellungen auswählen, die Ihren Anforderungen entsprechen.

Weitere Informationen zu den verfügbaren Einstellungen beim Erstellen eines Multi-AZ-DB-Clusters finden Sie unter Einstellungen zum Erstellen von Multi-AZ-DB-Clustern. Weitere Informationen zu den verfügbaren Einstellungen beim Ändern eines Multi-AZ-DB-Clusters finden Sie unter Einstellungen zum Ändern von Multi-AZ-DB-Clustern.

In diesem Beispiel wird ein Multi-AZ-DB-Cluster erstellt und angegeben, dass RDS das Passwort in Secrets Manager verwaltet. Das Geheimnis wird mit dem KMS Schlüssel verschlüsselt, der von Secrets Manager bereitgestellt wird.

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Linux, macOS, oder Unix:

aws rds create-db-cluster \
   --db-cluster-identifier mysql-multi-az-db-cluster \
   --engine mysql \
   --engine-version 8.0.28  \
   --backup-retention-period 1  \
   --allocated-storage 4000 \
   --storage-type io1 \
   --iops 10000 \
   --db-cluster-instance-class db.r6gd.xlarge \
   --manage-master-user-password

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows:

aws rds create-db-cluster ^
   --db-cluster-identifier mysql-multi-az-db-cluster ^
   --engine mysql ^
   --engine-version 8.0.28 ^
   --backup-retention-period 1 ^
   --allocated-storage 4000 ^
   --storage-type io1 ^
   --iops 10000 ^
   --db-cluster-instance-class db.r6gd.xlarge ^
   --manage-master-user-password

Um anzugeben, dass RDS das Masterbenutzerpasswort in Secrets Manager verwaltet, setzen Sie den ManageMasterUserPassword Parameter true in einer der folgenden Operationen auf:

Wenn Sie den ManageMasterUserPassword Parameter true in einem dieser Vorgänge auf setzen, generiert RDS das Masterbenutzerkennwort und verwaltet es während seines gesamten Lebenszyklus in Secrets Manager.

Um das Geheimnis zu verschlüsseln, können Sie einen vom Kunden verwalteten Schlüssel angeben oder den KMS Standardschlüssel verwenden, der von Secrets Manager bereitgestellt wird. Verwenden Sie den MasterUserSecretKmsKeyId-Parameter, um einen kundenverwalteten Schlüssel anzugeben. Die AWS KMS Schlüssel-ID ist der SchlüsselARN, die Schlüssel-ID, der Alias ARN oder der Aliasname für den KMS Schlüssel. Um einen KMS Schlüssel in einem anderen zu verwenden AWS-Konto, geben Sie den Schlüssel ARN oder den Alias anARN. Nachdem RDS die Datenbankanmeldedaten für einen DB-Cluster verwaltet hat, können Sie den KMS Schlüssel, der zur Verschlüsselung des Geheimnisses verwendet wird, nicht mehr ändern.

Rotieren des Hauptbenutzerpasswort-Secrets für eine DB-Instance

Wenn ein geheimes Master-Benutzerpasswort RDS rotiert, generiert Secrets Manager eine neue geheime Version für das bestehende Geheimnis. Die neue Secret-Version enthält das neue Hauptbenutzerpasswort. Amazon RDS ändert das Masterbenutzer-Passwort für die DB-Instance so, dass es mit dem Passwort für die neue geheime Version übereinstimmt.

Sie können ein Secret sofort rotieren, anstatt auf eine geplante Rotation zu warten. Ändern Sie die DB-Instance, um ein Hauptbenutzerpasswort-Secret in Secrets Manager zu rotieren. Informationen zum Ändern einer DB-Instance finden Sie unter Ändern einer Amazon RDS DB-Instance.

Sie können das geheime Masterbenutzer-Passwort sofort mit der RDS Konsole AWS CLI, dem oder dem rotieren RDSAPI. Das neue Passwort ist immer 28 Zeichen lang und enthält mindestens einen Groß- und Kleinbuchstaben, eine Zahl und ein Satzzeichen.

Um ein geheimes Masterbenutzer-Passwort mithilfe der RDS Konsole zu rotieren, ändern Sie die DB-Instance und wählen Sie in den Einstellungen die Option Geheimes Passwort sofort rotieren aus.

Ein Hauptbenutzerpasswort-Secret sofort drehen

Folgen Sie den Anweisungen zum Ändern einer DB-Instance bei RDS eingeschalteter KonsoleÄndern einer Amazon RDS DB-Instance. Sie müssen auf der Bestätigungsseite die Option Apply immediately (Sofort anwenden) auswählen.

Verwenden Sie den modify-db-instanceBefehl und geben Sie die --rotate-master-user-password Option an AWS CLI, um das geheime Masterbenutzerpasswort mithilfe von zu wechseln. Sie müssen die --apply-immediately-Option angeben, wenn Sie das Hauptpasswort rotieren.

In diesem Beispiel wird ein Hauptbenutzerpasswort-Secret rotiert.

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Linux, macOS, oder Unix:

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --rotate-master-user-password \
    --apply-immediately

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows:

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --rotate-master-user-password ^
    --apply-immediately

Sie können ein geheimes Masterbenutzerkennwort rotieren, indem Sie die odifyDBInstanceM-Operation verwenden und den RotateMasterUserPassword Parameter auf setzentrue. Sie müssen den ApplyImmediately-Parameter auf true festlegen, wenn Sie das Hauptpasswort rotieren.

Rotieren des Hauptbenutzerpasswort-Secrets für einen Multi-AZ-DB-Cluster

Wenn RDS ein geheimes Masterbenutzer-Passwort rotiert, generiert Secrets Manager eine neue geheime Version für das bestehende Geheimnis. Die neue Secret-Version enthält das neue Hauptbenutzerpasswort. Amazon RDS ändert das Master-Benutzerpasswort für den Multi-AZ-DB-Cluster so, dass es mit dem Passwort für die neue geheime Version übereinstimmt.

Sie können ein Secret sofort rotieren, anstatt auf eine geplante Rotation zu warten. Wenn Sie das Hauptbenutzerpasswort-Secret in Secrets Manager rotieren möchten, ändern Sie den Multi-AZ DB-Cluster. Informationen über das Ändern eines Multi-AZ-DB-Clusters finden Sie unter Ändern eines Multi-AZ-DB-Clusters für Amazon RDS.

Sie können das geheime Masterbenutzer-Passwort sofort mit der RDS Konsole AWS CLI, dem oder dem RDS API rotieren. Das neue Passwort ist immer 28 Zeichen lang und enthält mindestens einen Groß- und Kleinbuchstaben, eine Zahl und ein Satzzeichen.

Wenn Sie das geheime Masterbenutzer-Passwort über die RDS Konsole wechseln möchten, ändern Sie den Multi-AZ-DB-Cluster und wählen Sie in den Einstellungen die Option Geheimes Passwort sofort rotieren aus.

Ein Hauptbenutzerpasswort-Secret sofort drehen

Folgen Sie den Anweisungen zum Ändern eines Multi-AZ-DB-Clusters bei eingeschalteter RDS Konsole. Ändern eines Multi-AZ-DB-Clusters für Amazon RDS Sie müssen auf der Bestätigungsseite die Option Apply immediately (Sofort anwenden) auswählen.

Verwenden Sie den modify-db-clusterBefehl und geben Sie die --rotate-master-user-password Option an AWS CLI, um das geheime Passwort eines Hauptbenutzers mithilfe von zu ändern. Sie müssen die --apply-immediately-Option angeben, wenn Sie das Hauptpasswort rotieren.

In diesem Beispiel wird ein Hauptbenutzerpasswort-Secret rotiert.

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Linux, macOS, oder Unix:

aws rds modify-db-cluster \
    --db-cluster-identifier mydbcluster \
    --rotate-master-user-password \
    --apply-immediately

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows:

aws rds modify-db-cluster ^
    --db-cluster-identifier mydbcluster ^
    --rotate-master-user-password ^
    --apply-immediately

Sie können ein geheimes Masterbenutzerkennwort rotieren, indem Sie die odifyDBClusterM-Operation verwenden und den RotateMasterUserPassword Parameter auf setzentrue. Sie müssen den ApplyImmediately-Parameter auf true festlegen, wenn Sie das Hauptpasswort rotieren.

Anzeigen der Details zu einem Secret für eine DB-Instance

Sie können Ihre Secrets mit der Konsole (https://console.aws.amazon.com/secretsmanager/) oder dem AWS CLI (get-secret-valueSecrets Manager Manager-Befehl) abrufen.

Sie finden den Amazon-Ressourcennamen (ARN) eines Secrets, das RDS im Secrets Manager verwaltet wird, mit der RDS Konsole AWS CLI, dem oder dem RDSAPI.

Um die Details zu einem Geheimnis anzuzeigen, das RDS in Secrets Manager verwaltet wird

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die RDS Amazon-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich Datenbanken aus.

  3. Wählen Sie den Namen der entsprechenden DB-Instance aus, um deren Details anzuzeigen.

  4. Wählen Sie die Registerkarte Konfiguration aus.

    Unter Master Credentials ARN können Sie das Geheimnis einsehenARN.

    Sehen Sie sich die Details zu einem von RDS verwalteten Geheimnis in Secrets Manager an

    Sie können dem Link Manage in Secrets Manager (In Secrets Manager verwalten) folgen, um das Secret in der Secrets-Manager-Konsole anzuzeigen und zu verwalten.

Sie können den describe-db-instancesRDSCLIBefehl verwenden, um die folgenden Informationen zu einem Secret zu finden, das RDS in Secrets Manager verwaltet wird:

  • SecretArn— Das ARN des Geheimnisses

  • SecretStatus – Der Status des Secrets

    Mögliche Werte für den Status sind u. a. folgende:

    • creating – Das Secret wird erstellt.

    • active – Das Secret ist für den normalen Gebrauch und die Rotation verfügbar.

    • rotating – Das Secret wird rotiert.

    • impaired – Das Secret kann für den Zugriff auf Datenbankanmeldeinformationen verwendet werden, es kann jedoch nicht rotiert werden. Ein Geheimnis kann diesen Status haben, wenn beispielsweise die Berechtigungen so geändert werden, dass RDS kein Zugriff mehr auf das Geheimnis oder den KMS Schlüssel für das Geheimnis möglich ist.

      Wenn ein Secret diesen Status hat, können Sie die Bedingung korrigieren, die den Status verursacht hat. Wenn Sie die Bedingung korrigieren, die den Status verursacht hat, behält der Status bis zur nächsten Rotation den Wert impaired. Alternativ können Sie die DB-Instance ändern, um die automatische Verwaltung von Datenbankanmeldeinformationen zu deaktivieren, und dann die DB-Instance erneut ändern, um die automatische Verwaltung von Datenbankanmeldeinformationen zu aktivieren. Verwenden Sie die --manage-master-user-password Option im modify-db-instanceBefehl, um die DB-Instance zu ändern.

  • KmsKeyId— Der KMS Schlüssel, ARN der zur Verschlüsselung des Geheimnisses verwendet wird

Geben Sie die --db-instance-identifier-Option an, um die Ausgabe für eine bestimmte DB-Instance anzuzeigen. Dieses Beispiel zeigt die Ausgabe für ein Secret, das von einer DB-Instance verwendet wird.

aws rds describe-db-instances --db-instance-identifier mydbinstance

Das folgende Beispiel zeigt die Ausgabe für ein Secret:

"MasterUserSecret": {
                "SecretArn": "arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx",
                "SecretStatus": "active",
                "KmsKeyId": "arn:aws:kms:eu-west-1:123456789012:key/0987dcba-09fe-87dc-65ba-ab0987654321"
            }

Wenn Sie das Geheimnis habenARN, können Sie Details zum Geheimnis mit dem get-secret-valueSecrets CLI Manager-Befehl anzeigen.

Dieses Beispiel zeigt die Details für das Secret in der vorherigen Beispielausgabe.

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Linux, macOS, oder Unix:

aws secretsmanager get-secret-value \
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows:

aws secretsmanager get-secret-value ^
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

Sie können den Status und den ARN KMS Schlüssel eines Secrets, das von RDS in Secrets Manager verwaltet wird, anzeigen, indem Sie die escribeDBInstances Operation D verwenden und den DBInstanceIdentifier Parameter auf eine DB-Instance-ID setzen. Details zum Secret sind in der Ausgabe enthalten

Wenn Sie über das Geheimnis verfügenARN, können Sie mithilfe des GetSecretValueSecrets Manager-Vorgangs Details zu dem Geheimnis anzeigen.

Anzeigen der Details zu einem Secret für einen Multi-AZ-DB-Cluster

Sie können Ihre Secrets mit der Konsole (https://console.aws.amazon.com/secretsmanager/) oder dem AWS CLI (get-secret-valueSecrets Manager Manager-Befehl) abrufen.

Sie finden den Amazon-Ressourcennamen (ARN) eines von RDS verwalteten Secrets im Secrets Manager mit der RDS Konsole AWS CLI, dem oder dem RDSAPI.

Um die Details zu einem von RDS verwalteten Geheimnis in Secrets Manager anzuzeigen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die RDS Amazon-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich Datenbanken aus.

  3. Wählen Sie den Namen des Multi-AZ-DB-Clusters aus, um dessen Details anzuzeigen.

  4. Wählen Sie die Registerkarte Konfiguration aus.

    Unter Master Credentials ARN können Sie das Geheimnis einsehenARN.

    Sehen Sie sich die Details zu einem von RDS verwalteten Geheimnis in Secrets Manager an

    Sie können dem Link Manage in Secrets Manager (In Secrets Manager verwalten) folgen, um das Secret in der Secrets-Manager-Konsole anzuzeigen und zu verwalten.

Sie können den RDS AWS CLI describe-db-clustersBefehl verwenden, um die folgenden Informationen zu einem von RDS verwalteten Geheimnis in Secrets Manager zu finden:

  • SecretArn— Das ARN des Geheimnisses

  • SecretStatus – Der Status des Secrets

    Mögliche Werte für den Status sind u. a. folgende:

    • creating – Das Secret wird erstellt.

    • active – Das Secret ist für den normalen Gebrauch und die Rotation verfügbar.

    • rotating – Das Secret wird rotiert.

    • impaired – Das Secret kann für den Zugriff auf Datenbankanmeldeinformationen verwendet werden, es kann jedoch nicht rotiert werden. Ein Geheimnis kann diesen Status haben, wenn beispielsweise die Berechtigungen so geändert werden, dass RDS kein Zugriff mehr auf das Geheimnis oder den KMS Schlüssel für das Geheimnis möglich ist.

      Wenn ein Secret diesen Status hat, können Sie die Bedingung korrigieren, die den Status verursacht hat. Wenn Sie die Bedingung korrigieren, die den Status verursacht hat, behält der Status bis zur nächsten Rotation den Wert impaired. Alternativ können Sie den DB-Cluster ändern, um die automatische Verwaltung von Datenbankanmeldeinformationen zu deaktivieren, und dann den DB-Cluster erneut ändern, um die automatische Verwaltung von Datenbankanmeldeinformationen zu aktivieren. Verwenden Sie die --manage-master-user-password Option im modify-db-clusterBefehl, um den DB-Cluster zu ändern.

  • KmsKeyId— Der KMS Schlüssel, ARN der zur Verschlüsselung des Geheimnisses verwendet wird

Geben Sie die --db-cluster-identifier-Option an, um die Ausgabe für einen bestimmten DB-Cluster anzuzeigen. Dieses Beispiel zeigt die Ausgabe für ein Secret, das von einem DB-Cluster verwendet wird.

aws rds describe-db-clusters --db-cluster-identifier mydbcluster

Das folgende Beispiel zeigt die Ausgabe für ein Secret:

"MasterUserSecret": {
                "SecretArn": "arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx",
                "SecretStatus": "active",
                "KmsKeyId": "arn:aws:kms:eu-west-1:123456789012:key/0987dcba-09fe-87dc-65ba-ab0987654321"
            }

Wenn Sie das Geheimnis habenARN, können Sie Details zum Geheimnis mit dem get-secret-valueSecrets CLI Manager-Befehl anzeigen.

Dieses Beispiel zeigt die Details für das Secret in der vorherigen Beispielausgabe.

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Linux, macOS, oder Unix:

aws secretsmanager get-secret-value \
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows:

aws secretsmanager get-secret-value ^
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

Sie können den Status und den ARN KMS Schlüssel für ein von RDS verwaltetes Geheimnis im Secrets Manager anzeigen, indem Sie die escribeDBClusters RDS Operation D verwenden und den DBClusterIdentifier Parameter auf eine DB-Cluster-ID setzen. Details zum Secret sind in der Ausgabe enthalten

Wenn Sie über das Geheimnis verfügenARN, können Sie mithilfe des GetSecretValueSecrets Manager-Vorgangs Details zu dem Geheimnis anzeigen.

Verfügbarkeit von Regionen und Versionen

Die Verfügbarkeit von Funktionen und der Support variieren zwischen bestimmten Versionen der einzelnen Datenbank-Engines und in allen AWS-Regionen. Weitere Informationen zur Verfügbarkeit von Versionen und Regionen mit der Secrets Manager Manager-Integration mit Amazon RDS finden Sie unterUnterstützte Regionen und DB-Engines für die Secrets Manager Manager-Integration mit Amazon RDS.