Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Passwortverwaltung mit Amazon RDS, und AWS Secrets Manager
Amazon RDS lässt sich in Secrets Manager integrieren, um Hauptbenutzerpasswörter für Ihre DB-Instances und Multi-AZ-DB-Cluster zu verwalten.
**Topics**
+ [Einschränkungen für die Integration von Secrets Manager in Amazon RDS](#rds-secrets-manager-limitations)
+ [Überblick über die Verwaltung von Masterbenutzerkennwörtern mit AWS Secrets Manager](#rds-secrets-manager-overview)
+ [Vorteile der Verwaltung von Hauptbenutzerpasswörtern mit Secrets Manager](#rds-secrets-manager-benefits)
+ [Erforderliche Berechtigungen für die Integration von Secrets Manager](#rds-secrets-manager-permissions)
+ [Durchsetzung der Verwaltung des Masterbenutzerkennworts durch RDS in AWS Secrets Manager](#rds-secrets-manager-auth)
+ [Verwaltung des Hauptbenutzerpassworts für eine DB-Instance mit Secrets Manager](#rds-secrets-manager-db-instance)
+ [Verwalten des Hauptbenutzerpassworts für eine Tenant-Datenbank von RDS für Oracle mit Secrets Manager](#rds-secrets-manager-tenant)
+ [Verwaltung des Master-Benutzerpassworts für einen Multi-AZ-DB-Cluster mit Secrets Manager](#rds-secrets-manager-db-cluster)
+ [Rotieren des Hauptbenutzerpasswort-Secrets für eine DB-Instance](#rds-secrets-manager-rotate-db-instance)
+ [Das geheime Hauptbenutzerpasswort für einen Multi-AZ-DB-Cluster ändern](#rds-secrets-manager-rotate-db-cluster)
+ [Anzeigen der Details zu einem Secret für eine DB-Instance](#rds-secrets-manager-view-db-instance)
+ [Details zu einem Geheimnis für einen Multi-AZ-DB-Cluster anzeigen](#rds-secrets-manager-view-db-cluster)
+ [Anzeigen der Details zu einem Secret für eine Tenant-Datenbank](#rds-secrets-manager-view-tenant)
+ [Verfügbarkeit von Regionen und Versionen](#rds-secrets-manager-availability)
## Einschränkungen für die Integration von Secrets Manager in Amazon RDS
Die Verwaltung von Hauptpasswörtern mit Secrets Manager wird für die folgenden Funktionen nicht unterstützt:
+ Das Erstellen eines Lesereplikats, wenn die Quell-DB oder der DB-Cluster Anmeldeinformationen mit Secrets Manager verwaltet. Dies gilt für alle DB-Engines außer RDS für SQL Server.
+ Amazon Blue/Green RDS-Bereitstellungen
+ Amazon RDS Custom
+ Umstellung auf Oracle Data Guard
## Überblick über die Verwaltung von Masterbenutzerkennwörtern mit AWS Secrets Manager
Mit AWS Secrets Manager können Sie hartcodierte Anmeldeinformationen in Ihrem Code, einschließlich Datenbankkennwörtern, durch einen API-Aufruf an Secrets Manager ersetzen, um das Geheimnis programmgesteuert abzurufen. Weitere Informationen zu Secrets Manager finden Sie im [Benutzerhandbuch für AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/).
Wenn Sie Datenbankgeheimnisse in Secrets Manager speichern, AWS-Konto fallen Gebühren an. Informationen zu den Preisen erhalten Sie unter [AWS Secrets Manager Preise](https://aws.amazon.com/secrets-manager/pricing).
Sie können angeben, dass RDS das Hauptbenutzerpasswort in Secrets Manager für eine DB-Instance von Amazon RDS oder einen Multi-AZ-DB-Cluster verwaltet, wenn Sie eine der folgenden Operationen ausführen:
+ Erstellen einer DB-Instance
+ Erstellen des Multi-AZ-DB-Clusters
+ Erstellen einer Tenant-Datenbank in einer CDB von RDS für Oracle
+ Ändern einer DB-Instance
+ Ändern eines Multi-AZ-DB-Clusters
+ Ändern einer Tenant-Datenbank (nur RDS für Oracle)
+ Wiederherstellen einer DB-Instance aus Amazon S3
+ Wiederherstellen einer DB-Instance aus einem Snapshot oder zu einem Zeitpunkt (nur RDS für Oracle)
Wenn Sie angeben, dass RDS das Hauptbenutzerpasswort in Secrets Manager verwaltet, generiert RDS das Passwort und speichert es in Secrets Manager. Sie können direkt mit dem Secret interagieren, um die Anmeldeinformationen für den Hauptbenutzer abzurufen. Sie können auch einen vom Kunden verwalteten Schlüssel angeben, um das Secret zu verschlüsseln, oder den KMS-Schlüssel verwenden, der von Secrets Manager bereitgestellt wird.
RDS verwaltet die Einstellungen für das Secret und rotiert das Secret standardmäßig alle sieben Tage. Sie können einige Einstellungen ändern, wie zum Beispiel den Rotationsplan. Wenn Sie eine DB-Instance löschen, der ein Secret in Secrets Manager verwaltet, werden das Secret und die zugehörigen Metadaten ebenfalls gelöscht.
Um eine Verbindung mit einer DB-Instance oder einem Multi-AZ-DB-Cluster mit den Anmeldeinformationen in einem Secret herzustellen, können Sie das Secret von Secrets Manager abrufen. Weitere Informationen finden Sie im *Benutzerhandbuch* unter [Abrufen von Geheimnissen aus AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets.html) und [Herstellen einer Verbindung zu einer SQL-Datenbank mit Anmeldeinformationen in einem AWS Secrets Manager Geheimnis](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets_jdbc.html) herstellen.AWS Secrets Manager
## Vorteile der Verwaltung von Hauptbenutzerpasswörtern mit Secrets Manager
Die Verwaltung von RDS-Hauptbenutzerpasswörtern mit Secrets Manager bietet die folgenden Vorteile:
+ RDS generiert automatisch Datenbankanmeldeinformationen.
+ RDS speichert und verwaltet automatisch Datenbankanmeldedaten in AWS Secrets Manager.
+ RDS rotiert die Datenbankanmeldeinformationen regelmäßig, ohne dass Anwendungsänderungen erforderlich sind.
+ Secrets Manager schützt Datenbankanmeldeinformationen vor menschlichem Zugriff und der Klartextansicht.
+ Secrets Manager ermöglicht das Abrufen von Datenbankanmeldeinformationen in Secrets für Datenbankverbindungen.
+ Secrets Manager ermöglicht eine detaillierte Steuerung des Zugriffs auf Datenbankanmeldeinformationen in Secrets mithilfe von IAM.
+ Optional können Sie die Datenbankverschlüsselung von der Anmeldeinformationsverschlüsselung mit unterschiedlichen KMS-Schlüsseln trennen.
+ Sie können die manuelle Verwaltung und Rotation der Datenbankanmeldeinformationen vermeiden.
+ Sie können Datenbankanmeldedaten einfach mit AWS CloudTrail Amazon überwachen CloudWatch.
Weitere Informationen zu den Vorteilen von Secrets Manager finden Sie im [Benutzerhandbuch für AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/).
## Erforderliche Berechtigungen für die Integration von Secrets Manager
Benutzer müssen über die erforderlichen Berechtigungen verfügen, um Operationen im Zusammenhang mit der Integration von Secrets Manager auszuführen. Sie können IAM-Richtlinien erstellen, die die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die benötigt werden. Sie können diese Richtlinien dann den IAM-Berechtigungssätzen oder -Rollen zuordnen, die diese Berechtigungen benötigen. Weitere Informationen finden Sie unter [Identity and Access Management für Amazon RDS](UsingWithRDS.IAM.md).
Für Erstellungs-, Änderungs- oder Wiederherstellungsoperationen muss der Benutzer, der angibt, dass Amazon RDS das Hauptbenutzerpasswort in Secrets Manager verwaltet, über entsprechende Berechtigungen für folgende Operationen verfügen:
+ `kms:DescribeKey`
+ `secretsmanager:CreateSecret`
+ `secretsmanager:TagResource`
Die Berechtigung `kms:DescribeKey` ist erforderlich, um auf Ihren vom Kunden verwalteten Schlüssel für die `MasterUserSecretKmsKeyId` zuzugreifen und `aws/secretsmanager` zu beschreiben.
Für Erstellungs-, Änderungs- oder Wiederherstellungsoperationen muss der Benutzer, der den benutzerdefinierten Schlüssel zum Entschlüsseln des Secrets in Secrets Manager angibt, über entsprechende Berechtigungen für folgende Operationen verfügen:
+ `kms:Decrypt`
+ `kms:GenerateDataKey`
+ `kms:CreateGrant`
Für Änderungsoperationen muss der Benutzer, der das Hauptbenutzerpasswort in Secrets Manager rotiert, über entsprechende Berechtigungen für die folgende Operation verfügen:
+ `secretsmanager:RotateSecret`
## Durchsetzung der Verwaltung des Masterbenutzerkennworts durch RDS in AWS Secrets Manager
Sie können IAM-Bedingungsschlüssel verwenden, um die RDS-Verwaltung des Hauptbenutzerpassworts in AWS Secrets Manager zu erzwingen. Die folgende Richtlinie erlaubt Benutzern nicht, DB-Instances oder DB-Cluster zu erstellen oder Tenant-Datenbanken zu erstellen oder zu ändern, es sei denn, das Hauptbenutzerpasswort wird von RDS in Secrets Manager verwaltet.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": ["rds:CreateDBInstance", "rds:CreateDBCluster", "rds:RestoreDBInstanceFromS3", "rds:RestoreDBClusterFromS3",
"rds:RestoreDBInstanceFromDBSnapshot", "rds:RestoreDBInstanceToPointInTime", "rds:CreateTenantDatabase",
"rds:ModifyTenantDatabase"],
"Resource": "*",
"Condition": {
"Bool": {
"rds:ManageMasterUserPassword": false
}
}
}
]
}
```
------
**Anmerkung**
Diese Richtlinie erzwingt die Passwortverwaltung AWS Secrets Manager bei der Erstellung. Sie können die Secrets-Manager-Integration jedoch nach wie vor deaktivieren und ein Hauptpasswort manuell festlegen, indem Sie die Instance ändern.
Um dies zu verhindern, nehmen Sie `rds:ModifyDBInstance`, `rds:ModifyDBCluster` in den Aktionsblock der Richtlinie auf. Beachten Sie, dass der Benutzer dadurch keine weiteren Änderungen an vorhandenen Instances vornehmen kann, für die die Secrets-Manager-Integration nicht aktiviert ist.
Weitere Informationen zum Verwenden der Bedingungsschlüssels in IAM-Richtlinien finden Sie unter [Richtlinien-Bedingungsschlüssel für Amazon RDS](security_iam_service-with-iam.md#UsingWithRDS.IAM.Conditions) und [Beispielrichtlinien: Verwenden von Bedingungsschlüsseln](UsingWithRDS.IAM.Conditions.Examples.md).
## Verwaltung des Hauptbenutzerpassworts für eine DB-Instance mit Secrets Manager
Sie können die RDS-Verwaltung des Hauptbenutzerpassworts in Secrets Manager konfigurieren, wenn Sie die folgenden Aktionen ausführen:
+ [Erstellen einer Amazon-RDS-DB-Instance](USER_CreateDBInstance.md)
+ [Ändern einer Amazon-RDS-DB-Instance](Overview.DBInstance.Modifying.md)
+ [Wiederherstellen eines Backups in eine DB-Instance von Amazon RDS für MySQL](MySQL.Procedural.Importing.md)
+ [Wiederherstellen auf eine DB-Instance](USER_RestoreFromSnapshot.md) (nur RDS für Oracle)
+ [Wiederherstellen einer DB-Instance auf einen bestimmten Zeitpunkt für Amazon RDS](USER_PIT.md) (nur RDS für Oracle)
Sie können die oben genannten Operationen mit der RDS-Konsole AWS CLI, der oder der RDS-API ausführen.
### Konsole
Folgen Sie den Anweisungen zum Erstellen oder Ändern einer DB-Instance mit der RDS-Konsole:
+ [Erstellen einer DB-Instance](USER_CreateDBInstance.md#USER_CreateDBInstance.Creating)
+ [Ändern einer Amazon-RDS-DB-Instance](Overview.DBInstance.Modifying.md)
+ [Importieren von Daten aus Amazon S3 in eine neue MySQL-DB-Instance](MySQL.Procedural.Importing.md#MySQL.Procedural.Importing.PerformingImport)
Wenn Sie die RDS-Konsole verwenden, um eine dieser Operationen auszuführen, können Sie angeben, dass das Hauptbenutzerpasswort von RDS in Secrets Manager verwaltet wird. Wählen Sie beim Erstellen oder Wiederherstellen einer DB-Instance **Hauptanmeldeinformationen in AWS Secrets Manager verwalten** unter **Einstellungen für Anmeldeinformationen** aus. Wenn Sie eine DB-Instance ändern, wählen Sie unter **Einstellungen** die Option **Hauptanmeldeinformationen in AWS Secrets Manager verwalten** aus.
Die folgende Abbildung zeigt ein Beispiel für die Einstellung **Hauptanmeldeinformationen in AWS Secrets Manager verwalten** beim Erstellen oder Wiederherstellen einer DB-Instance.
![\[Verwalten Sie die Master-Anmeldeinformationen in AWS Secrets Manager\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/images/secrets-manager-credential-settings-db-instance.png)
Wenn Sie diese Option auswählen, generiert RDS das Hauptbenutzerpasswort und verwaltet es während seines gesamten Lebenszyklus in Secrets Manager.
![\[Master-Anmeldeinformationen verwalten in AWS Secrets Manager ausgewählten\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/images/secrets-manager-integration-create-db-instance.png)
Sie können wählen, ob Sie das Secret mit einem von Secrets Manager bereitgestellten KMS-Schlüssel oder mit einem von Ihnen erstellten kundenverwalteten Schlüssel verschlüsseln möchten. Nachdem RDS die Datenbankanmeldeinformationen für eine DB-Instance verwaltet hat, können Sie den KMS-Schlüssel, der zum Verschlüsseln des Secrets verwendet wird, nicht mehr ändern.
Sie können andere Einstellungen auswählen, die Ihren Anforderungen entsprechen. Weitere Informationen zu den verfügbaren Einstellungen beim Erstellen einer DB-Instance finden Sie unter [Einstellungen für DB-Instances](USER_CreateDBInstance.Settings.md). Weitere Informationen zu den verfügbaren Einstellungen beim Ändern einer DB-Instance finden Sie unter [Einstellungen für DB-Instances](USER_ModifyInstance.Settings.md).
### AWS CLI
Um das Masterbenutzerkennwort mit RDS in Secrets Manager zu verwalten, geben Sie die `--manage-master-user-password` Option in einem der folgenden AWS CLI Befehle an:
+ [create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html)
+ [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html)
+ [restore-db-instance-from-s3](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-from-s3.html)
+ [restore-db-instance-from-db-snapshot](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-from-db-snapshot.html) (nur RDS für Oracle)
+ [restore-db-instance-to- point-in-time](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-to-point-in-time.html) (RDS nur für Oracle)
Wenn Sie die `--manage-master-user-password`-Option angeben, generiert RDS das Hauptbenutzerpasswort und verwaltet es während seines gesamten Lebenszyklus in Secrets Manager.
Sie können auch einen kundenverwalteten Schlüssel angeben, um das Secret zu verschlüsseln, oder den KMS-Standardschlüssel verwenden, der von Secrets Manager bereitgestellt wird. Verwenden Sie die `--master-user-secret-kms-key-id`-Option, um einen kundenverwalteten Schlüssel anzugeben. Die AWS KMS-Schlüssel-ID ist der Schlüssel-ARN, die Schlüssel-ID, der Alias-ARN oder der Aliasname für den KMS-Schlüssel. Um einen KMS-Schlüssel in einem anderen zu verwenden AWS-Konto, geben Sie den Schlüssel-ARN oder den Alias-ARN an. Nachdem RDS die Datenbankanmeldeinformationen für eine DB-Instance verwaltet hat, können Sie den KMS-Schlüssel, der zum Verschlüsseln des Secrets verwendet wird, nicht mehr ändern.
Sie können andere Einstellungen auswählen, die Ihren Anforderungen entsprechen. Weitere Informationen zu den verfügbaren Einstellungen beim Erstellen einer DB-Instance finden Sie unter [Einstellungen für DB-Instances](USER_CreateDBInstance.Settings.md). Weitere Informationen zu den verfügbaren Einstellungen beim Ändern einer DB-Instance finden Sie unter [Einstellungen für DB-Instances](USER_ModifyInstance.Settings.md).
Im folgenden Beispiel wird eine DB-Instance erstellt und angegeben, dass RDS das Hauptbenutzerpasswort in Secrets Manager verwaltet. Das Secret wird mit dem KMS-Schlüssel verschlüsselt, der von Secrets Manager bereitgestellt wird.
**Example**
Für Linux, macOS oder Unix:
```
1. aws rds create-db-instance \
2. --db-instance-identifier mydbinstance \
3. --engine mysql \
4. --engine-version 8.0.39 \
5. --db-instance-class db.r5b.large \
6. --allocated-storage 200 \
7. --master-username testUser \
8. --manage-master-user-password
```
Für Windows:
```
1. aws rds create-db-instance ^
2. --db-instance-identifier mydbinstance ^
3. --engine mysql ^
4. --engine-version 8.0.39 ^
5. --db-instance-class db.r5b.large ^
6. --allocated-storage 200 ^
7. --master-username testUser ^
8. --manage-master-user-password
```
### RDS-API
Wenn Sie angeben möchten, dass RDS das Hauptbenutzerpasswort in Secrets Manager verwaltet, legen Sie den `ManageMasterUserPassword`-Parameter in einer der folgenden RDS-API-Operationen auf `true` fest:
+ [CreateDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html)
+ [Modifizieren SieDBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html)
+ [DBInstanceAus S3 wiederherstellen](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromS3.html)
+ [Wiederherstellen DBInstance FromSnapshot](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromSnapshot.html) (nur RDS für Oracle)
+ [Wiederherstellen DBInstance ToPointInTime](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceToPointInTime.html) (nur RDS für Oracle)
Wenn Sie den `ManageMasterUserPassword`-Parameter in einer dieser Operationen auf `true` festlegen, generiert RDS das Hauptbenutzerpasswort und verwaltet es während seines gesamten Lebenszyklus in Secrets Manager.
Sie können auch einen kundenverwalteten Schlüssel angeben, um das Secret zu verschlüsseln, oder den KMS-Standardschlüssel verwenden, der von Secrets Manager bereitgestellt wird. Verwenden Sie den `MasterUserSecretKmsKeyId`-Parameter, um einen kundenverwalteten Schlüssel anzugeben. Die AWS KMS-Schlüssel-ID ist der Schlüssel-ARN, die Schlüssel-ID, der Alias-ARN oder der Aliasname für den KMS-Schlüssel. Geben Sie den Schlüssel-ARN oder Alias-ARN an, um einen KMS-Schlüssel in einem anderen AWS-Konto zu verwenden. Nachdem RDS die Datenbankanmeldeinformationen für eine DB-Instance verwaltet hat, können Sie den KMS-Schlüssel, der zum Verschlüsseln des Secrets verwendet wird, nicht mehr ändern.
## Verwalten des Hauptbenutzerpassworts für eine Tenant-Datenbank von RDS für Oracle mit Secrets Manager
Sie können die RDS-Verwaltung des Hauptbenutzerpassworts in Secrets Manager konfigurieren, wenn Sie die folgenden Aktionen ausführen:
+ [Hinzufügen einer RDS-für-Oracle-Tenant-Datenbank zu Ihrer CDB-Instance](oracle-cdb-configuring.adding.pdb.md)
+ [Ändern einer Tenant-Datenbank von RDS für Oracle](oracle-cdb-configuring.modifying.pdb.md)
Sie können die RDS-Konsole AWS CLI, die oder die RDS-API verwenden, um die oben genannten Aktionen auszuführen.
### Konsole
Folgen Sie den Anleitungen zum Erstellen oder Ändern einer Tenant-Instance von RDS für Oracle mit der RDS-Konsole:
+ [Hinzufügen einer RDS-für-Oracle-Tenant-Datenbank zu Ihrer CDB-Instance](oracle-cdb-configuring.adding.pdb.md)
+ [Ändern einer Tenant-Datenbank von RDS für Oracle](oracle-cdb-configuring.modifying.pdb.md)
Wenn Sie die RDS-Konsole verwenden, um eine der vorhergehenden Vorgänge durchzuführen, können Sie angeben, dass das Hauptbenutzerpasswort von RDS in Secrets Manager verwaltet wird. Wenn Sie eine Mandantendatenbank erstellen, wählen Sie ** AWS Secrets Manager in den **Anmeldeinformationseinstellungen** die Option Master-Anmeldeinformationen verwalten** aus. Wenn Sie ein Tenant-Datenbank ändern, wählen Sie **Master-Anmeldeinformationen in AWS Secrets Manager verwalten** unter **Einstellungen** aus.
Die folgende Abbildung zeigt ein Beispiel für die Einstellung **Master-Anmeldeinformationen in AWS Secrets Manager verwalten** beim Erstellen oder Wiederherstellen eines DB-Clusters.
![\[Hauptanmeldedaten verwalten in AWS Secrets Manager\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/images/secrets-manager-credential-settings-db-instance.png)
Wenn Sie diese Option auswählen, generiert RDS das Hauptbenutzerpasswort und verwaltet es während seines gesamten Lebenszyklus in Secrets Manager.
![\[Master-Anmeldeinformationen verwalten in AWS Secrets Manager ausgewählten\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/images/secrets-manager-integration-create-db-instance.png)
Sie können wählen, ob Sie das Secret mit einem von Secrets Manager bereitgestellten KMS-Schlüssel oder mit einem von Ihnen erstellten kundenverwalteten Schlüssel verschlüsseln möchten. Nachdem RDS die Datenbankanmeldeinformationen für eine Tenant-Datenbank verwaltet hat, können Sie den KMS-Schlüssel, der zum Verschlüsseln des Secrets verwendet wird, nicht mehr ändern.
Sie können andere Einstellungen auswählen, die Ihren Anforderungen entsprechen. Weitere Informationen zu den verfügbaren Einstellungen beim Erstellen einer Tenant-Datenbank finden Sie unter [Einstellungen für DB-Instances](USER_CreateDBInstance.Settings.md). Weitere Informationen zu den verfügbaren Einstellungen beim Ändern einer Tenant-Datenbank finden Sie unter [Einstellungen für DB-Instances](USER_ModifyInstance.Settings.md).
### AWS CLI
Um das Hauptbenutzerpasswort mit RDS in Secrets Manager zu verwalten, geben Sie die `--manage-master-user-password`-Option in einem der folgenden AWS CLI -Befehle an:
+ [create-tenant-database](https://docs.aws.amazon.com/cli/latest/reference/rds/create-tenant-database.html)
+ [modify-tenant-database](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-tenant-database.html)
Wenn Sie die Option `--manage-master-user-password` spangeben, generiert RDS das Hauptbenutzerpasswort und verwaltet es während seines gesamten Lebenszyklus in Secrets Manager.
Sie können auch einen kundenverwalteten Schlüssel angeben, um das Secret zu verschlüsseln, oder den KMS-Standardschlüssel verwenden, der von Secrets Manager bereitgestellt wird. Verwenden Sie die `--master-user-secret-kms-key-id`-Option, um einen kundenverwalteten Schlüssel anzugeben. Die AWS KMS-Schlüssel-ID ist der Schlüssel-ARN, die Schlüssel-ID, der Alias-ARN oder der Aliasname für den KMS-Schlüssel. Um einen KMS-Schlüssel in einem anderen zu verwenden AWS-Konto, geben Sie den Schlüssel-ARN oder den Alias-ARN an. Nachdem RDS die Datenbankanmeldeinformationen für eine Tenant-Datenbank verwaltet hat, können Sie den KMS-Schlüssel, der zum Verschlüsseln des Secrets verwendet wird, nicht mehr ändern.
Sie können andere Einstellungen auswählen, die Ihren Anforderungen entsprechen. Weitere Informationen zu den verfügbaren Einstellungen beim Erstellen einer Tenant-Datenbank finden Sie unter [create-tenant-database](https://docs.aws.amazon.com/cli/latest/reference/rds/create-tenant-database.html). Weitere Informationen zu den verfügbaren Einstellungen beim Ändern einer Tenant-Datenbank finden Sie unter [modify-tenant-database](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-tenant-database.html).
Im folgenden Beispiel wird eine Tenant-Datenbank von RDS für Oracle erstellt und festgelegt, dass RDS das Hauptbenutzerpasswort in Secrets Manager verwaltet. Das Secret wird mit dem KMS-Schlüssel verschlüsselt, der von Secrets Manager bereitgestellt wird.
**Example**
Für Linux, macOS oder Unix:
```
1. aws rds create-tenant-database --region us-east-1 \
2. --db-instance-identifier my-cdb-inst \
3. --tenant-db-name mypdb2 \
4. --master-username mypdb2-admin \
5. --character-set-name UTF-16 \
6. --manage-master-user-password
```
Für Windows:
```
1. aws rds create-tenant-database --region us-east-1 ^
2. --db-instance-identifier my-cdb-inst ^
3. --tenant-db-name mypdb2 ^
4. --master-username mypdb2-admin ^
5. --character-set-name UTF-16 ^
6. --manage-master-user-password
```
### RDS-API
Wenn Sie angeben möchten, dass RDS das Hauptbenutzerpasswort in Secrets Manager verwaltet, legen Sie den `ManageMasterUserPassword`-Parameter in einer der folgenden RDS-API-Operationen auf `true` fest:
+ [CreateTenantDatabase](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateTenantDatabase.html)
+ [ModifyTenantDatabase](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyTenantDatabase.html)
Wenn Sie den `ManageMasterUserPassword`-Parameter in einer dieser Operationen auf `true` festlegen, generiert RDS das Hauptbenutzerpasswort und verwaltet es während seines gesamten Lebenszyklus in Secrets Manager.
Sie können auch einen kundenverwalteten Schlüssel angeben, um das Secret zu verschlüsseln, oder den KMS-Standardschlüssel verwenden, der von Secrets Manager bereitgestellt wird. Verwenden Sie den `MasterUserSecretKmsKeyId`-Parameter, um einen kundenverwalteten Schlüssel anzugeben. Die AWS -KMS-Schlüsselkennung ist der Schlüssel-ARN, die Schlüssel-ID, der Alias-ARN oder der Alias-Name für den KMS-Schlüssel. Um einen KMS-Schlüssel in einem anderen zu verwenden AWS-Konto, geben Sie den Schlüssel-ARN oder den Alias-ARN an. Nachdem RDS die Datenbankanmeldeinformationen für eine Tenant-Datenbank verwaltet hat, können Sie den KMS-Schlüssel, der zum Verschlüsseln des Secrets verwendet wird, nicht mehr ändern.
## Verwaltung des Master-Benutzerpassworts für einen Multi-AZ-DB-Cluster mit Secrets Manager
Sie können die RDS-Verwaltung des Hauptbenutzerpassworts in Secrets Manager konfigurieren, wenn Sie die folgenden Aktionen ausführen:
+ [Erstellen eines Multi-AZ-DB-Clusters für Amazon RDS](create-multi-az-db-cluster.md)
+ [Ändern eines Multi-AZ-DB-Clusters für Amazon RDS](modify-multi-az-db-cluster.md)
Sie können die RDS-Konsole AWS CLI, die oder die RDS-API verwenden, um diese Aktionen auszuführen.
### Konsole
Folgen Sie den Anweisungen zum Erstellen oder Ändern eines Multi-AZ DB-Clusters mit der RDS-Konsole:
+ [Erstellen eines DB-Clusters](create-multi-az-db-cluster.md#create-multi-az-db-cluster-creating)
+ [Ändern eines Multi-AZ-DB-Clusters für Amazon RDS](modify-multi-az-db-cluster.md)
Wenn Sie die RDS-Konsole verwenden, um eine dieser Operationen auszuführen, können Sie angeben, dass das Hauptbenutzerpasswort von RDS in Secrets Manager verwaltet wird. Wählen Sie dazu beim Erstellen eines DB-Clusters **Hauptanmeldeinformationen in AWS Secrets Manager verwalten** unter **Anmeldeinformationseinstellungen** aus. Wenn Sie einen DB-Cluster ändern, wählen Sie **Hauptanmeldeinformationen in AWS Secrets Manager verwalten** unter **Einstellungen** aus.
Die folgende Abbildung zeigt ein Beispiel für die Einstellung **Hauptanmeldeinformationen in AWS Secrets Manager verwalten** beim Erstellen eines DB-Clusters.
![\[Verwalten Sie die Master-Anmeldeinformationen in AWS Secrets Manager\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/images/secrets-manager-credential-settings.png)
Wenn Sie diese Option auswählen, generiert RDS das Hauptbenutzerpasswort und verwaltet es während seines gesamten Lebenszyklus in Secrets Manager.
![\[Master-Anmeldeinformationen verwalten in AWS Secrets Manager ausgewählten\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/images/secrets-manager-integration-create.png)
Sie können wählen, ob Sie das Secret mit einem von Secrets Manager bereitgestellten KMS-Schlüssel oder mit einem von Ihnen erstellten kundenverwalteten Schlüssel verschlüsseln möchten. Nachdem RDS die Datenbankanmeldeinformationen für einen DB-Cluster verwaltet hat, können Sie den KMS-Schlüssel, der zum Verschlüsseln des Secrets verwendet wird, nicht mehr ändern.
Sie können andere Einstellungen auswählen, die Ihren Anforderungen entsprechen.
Weitere Informationen zu den verfügbaren Einstellungen beim Erstellen eines Multi-AZ-DB-Clusters finden Sie unter [Einstellungen zum Erstellen von Multi-AZ-DB-Clustern](create-multi-az-db-cluster.md#create-multi-az-db-cluster-settings). Weitere Informationen zu den verfügbaren Einstellungen beim Ändern eines Multi-AZ-DB-Clusters finden Sie unter [Einstellungen zum Ändern von Multi-AZ-DB-Clustern](modify-multi-az-db-cluster.md#modify-multi-az-db-cluster-settings).
### AWS CLI
Wenn Sie angeben möchten, dass RDS das Hauptbenutzerpasswort in Secrets Manager verwalten soll, geben Sie die `--manage-master-user-password`-Option in einem der folgenden Befehle an:
+ [create-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-cluster.html)
+ [modify-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-cluster.html)
Wenn Sie die `--manage-master-user-password`-Option angeben, generiert RDS das Hauptbenutzerpasswort und verwaltet es während seines gesamten Lebenszyklus in Secrets Manager.
Sie können auch einen kundenverwalteten Schlüssel angeben, um das Secret zu verschlüsseln, oder den KMS-Standardschlüssel verwenden, der von Secrets Manager bereitgestellt wird. Verwenden Sie die `--master-user-secret-kms-key-id`-Option, um einen kundenverwalteten Schlüssel anzugeben. Die AWS KMS-Schlüssel-ID ist der Schlüssel-ARN, die Schlüssel-ID, der Alias-ARN oder der Aliasname für den KMS-Schlüssel. Um einen KMS-Schlüssel in einem anderen zu verwenden AWS-Konto, geben Sie den Schlüssel-ARN oder den Alias-ARN an. Nachdem RDS die Datenbankanmeldeinformationen für einen DB-Cluster verwaltet hat, können Sie den KMS-Schlüssel, der zum Verschlüsseln des Secrets verwendet wird, nicht mehr ändern.
Sie können andere Einstellungen auswählen, die Ihren Anforderungen entsprechen.
Weitere Informationen zu den verfügbaren Einstellungen beim Erstellen eines Multi-AZ-DB-Clusters finden Sie unter [Einstellungen zum Erstellen von Multi-AZ-DB-Clustern](create-multi-az-db-cluster.md#create-multi-az-db-cluster-settings). Weitere Informationen zu den verfügbaren Einstellungen beim Ändern eines Multi-AZ-DB-Clusters finden Sie unter [Einstellungen zum Ändern von Multi-AZ-DB-Clustern](modify-multi-az-db-cluster.md#modify-multi-az-db-cluster-settings).
In diesem Beispiel wird ein Multi-AZ-DB-Cluster erstellt und angegeben, dass RDS das Passwort in Secrets Manager verwaltet. Das Secret wird mit dem KMS-Schlüssel verschlüsselt, der von Secrets Manager bereitgestellt wird.
**Example**
Für Linux, macOS oder Unix:
```
1. aws rds create-db-cluster \
2. --db-cluster-identifier mysql-multi-az-db-cluster \
3. --engine mysql \
4. --engine-version 8.0.39 \
5. --backup-retention-period 1 \
6. --allocated-storage 4000 \
7. --storage-type io1 \
8. --iops 10000 \
9. --db-cluster-instance-class db.r6gd.xlarge \
10. --master-username testUser \
11. --manage-master-user-password
```
Für Windows:
```
1. aws rds create-db-cluster ^
2. --db-cluster-identifier mysql-multi-az-db-cluster ^
3. --engine mysql ^
4. --engine-version 8.0.39 ^
5. --backup-retention-period 1 ^
6. --allocated-storage 4000 ^
7. --storage-type io1 ^
8. --iops 10000 ^
9. --db-cluster-instance-class db.r6gd.xlarge ^
10. --master-username testUser ^
11. --manage-master-user-password
```
### RDS-API
Wenn Sie angeben möchten, dass RDS das Hauptbenutzerpasswort in Secrets Manager verwaltet, legen Sie den `ManageMasterUserPassword`-Parameter in einer der folgenden Operationen auf `true` fest:
+ [CreateDBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBCluster.html)
+ [Modifizieren SieDBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBCluster.html)
Wenn Sie den `ManageMasterUserPassword`-Parameter in einer dieser Operationen auf `true` festlegen, generiert RDS das Hauptbenutzerpasswort und verwaltet es während seines gesamten Lebenszyklus in Secrets Manager.
Sie können auch einen kundenverwalteten Schlüssel angeben, um das Secret zu verschlüsseln, oder den KMS-Standardschlüssel verwenden, der von Secrets Manager bereitgestellt wird. Verwenden Sie den `MasterUserSecretKmsKeyId`-Parameter, um einen kundenverwalteten Schlüssel anzugeben. Die AWS KMS-Schlüssel-ID ist der Schlüssel-ARN, die Schlüssel-ID, der Alias-ARN oder der Aliasname für den KMS-Schlüssel. Geben Sie den Schlüssel-ARN oder Alias-ARN an, um einen KMS-Schlüssel in einem anderen AWS-Konto zu verwenden. Nachdem RDS die Datenbankanmeldeinformationen für einen DB-Cluster verwaltet hat, können Sie den KMS-Schlüssel, der zum Verschlüsseln des Secrets verwendet wird, nicht mehr ändern.
## Rotieren des Hauptbenutzerpasswort-Secrets für eine DB-Instance
Wenn RDS ein Hauptbenutzerpasswort-Secret rotiert, generiert Secrets Manager eine neue geheime Version für das vorhandene Secret. Die neue Secret-Version enthält das neue Hauptbenutzerpasswort. Amazon RDS ändert das Hauptbenutzerpasswort für die DB-Instance, sodass es dem Passwort für die neue Secret-Version entspricht.
Sie können ein Secret sofort rotieren, anstatt auf eine geplante Rotation zu warten. Ändern Sie die DB-Instance, um ein Hauptbenutzerpasswort-Secret in Secrets Manager zu rotieren. Informationen zum Ändern einer DB-Instance finden Sie unter [Ändern einer Amazon-RDS-DB-Instance](Overview.DBInstance.Modifying.md).
Sie können ein geheimes Masterbenutzerkennwort sofort mit der RDS-Konsole AWS CLI, der oder der RDS-API austauschen. Das neue Passwort ist immer 28 Zeichen lang und enthält mindestens einen Groß- und Kleinbuchstaben, eine Zahl sowie ein Interpunktionszeichen.
### Konsole
Wenn Sie das Hauptbenutzerpasswort-Secret mithilfe der RDS-Konsole rotieren möchten, ändern Sie die DB-Instance und wählen Sie die Option **Rotate secret immediately** (Sofortige Secret-Drehung) unter **Settings** (Einstellungen) aus.
![\[Ein Hauptbenutzerpasswort-Secret sofort drehen\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/images/secrets-manager-integration-rotate.png)
Folgen Sie den Anweisungen zum Ändern einer DB-Instance mit der RDS-Konsole in [Ändern einer Amazon-RDS-DB-Instance](Overview.DBInstance.Modifying.md). Sie müssen auf der Bestätigungsseite die Option **Apply immediately** (Sofort anwenden) auswählen.
### AWS CLI
Verwenden Sie den [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html)Befehl und geben Sie die `--rotate-master-user-password` Option an AWS CLI, um ein geheimes Masterbenutzerpasswort mithilfe von zu wechseln. Sie müssen die `--apply-immediately`-Option angeben, wenn Sie das Hauptpasswort rotieren.
In diesem Beispiel wird ein Hauptbenutzerpasswort-Secret rotiert.
**Example**
Für Linux, macOS oder Unix:
```
1. aws rds modify-db-instance \
2. --db-instance-identifier mydbinstance \
3. --rotate-master-user-password \
4. --apply-immediately
```
Für Windows:
```
1. aws rds modify-db-instance ^
2. --db-instance-identifier mydbinstance ^
3. --rotate-master-user-password ^
4. --apply-immediately
```
### RDS-API
Sie können ein geheimes Masterbenutzerkennwort rotieren, indem [Sie den DBInstance Vorgang Ändern](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) verwenden und den `RotateMasterUserPassword` Parameter auf setzen`true`. Sie müssen den `ApplyImmediately`-Parameter auf `true` festlegen, wenn Sie das Hauptpasswort rotieren.
## Das geheime Hauptbenutzerpasswort für einen Multi-AZ-DB-Cluster ändern
Wenn RDS ein Hauptbenutzerpasswort-Secret rotiert, generiert Secrets Manager eine neue Secret-Version für das vorhandene Secret. Die neue Secret-Version enthält das neue Hauptbenutzerpasswort. Amazon RDS ändert das Hauptbenutzerpasswort für den Multi-AZ-DB-Cluster so, dass es mit dem Passwort für die neue Secret-Version übereinstimmt.
Sie können ein Secret sofort rotieren, anstatt auf eine geplante Rotation zu warten. Wenn Sie das Hauptbenutzerpasswort-Secret in Secrets Manager rotieren möchten, ändern Sie den Multi-AZ DB-Cluster. Informationen über das Ändern eines Multi-AZ-DB-Clusters finden Sie unter [Ändern eines Multi-AZ-DB-Clusters für Amazon RDS](modify-multi-az-db-cluster.md).
Sie können das geheime Masterbenutzerpasswort sofort mit der RDS-Konsole AWS CLI, der oder der RDS-API rotieren. Das neue Passwort ist immer 28 Zeichen lang und enthält mindestens einen Groß- und Kleinbuchstaben, eine Zahl und ein Interpunktionszeichen.
### Konsole
Wenn Sie das Hauptbenutzerpasswort-Secret mithilfe der RDS-Konsole rotieren möchten, ändern Sie den Multi-AZ DB-Cluster und wählen Sie die Option **Rotate secret immediately** (Sofortige Secret-Drehung) unter **Settings** (Einstellungen) aus.
![\[Ein Hauptbenutzerpasswort-Secret sofort drehen\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/images/secrets-manager-integration-rotate-taz-cluster.png)
Folgen Sie den Anweisungen zum Ändern eines Multi-AZ DB-Clusters mit der RDS-Konsole in [Ändern eines Multi-AZ-DB-Clusters für Amazon RDS](modify-multi-az-db-cluster.md). Sie müssen auf der Bestätigungsseite die Option **Apply immediately** (Sofort anwenden) auswählen.
### AWS CLI
Verwenden Sie den [modify-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-cluster.html)Befehl und geben Sie die `--rotate-master-user-password` Option an AWS CLI, um ein geheimes Masterbenutzerpasswort mithilfe von zu wechseln. Sie müssen die `--apply-immediately`-Option angeben, wenn Sie das Hauptpasswort rotieren.
In diesem Beispiel wird ein Hauptbenutzerpasswort-Secret rotiert.
**Example**
Für Linux, macOS oder Unix:
```
1. aws rds modify-db-cluster \
2. --db-cluster-identifier mydbcluster \
3. --rotate-master-user-password \
4. --apply-immediately
```
Für Windows:
```
1. aws rds modify-db-cluster ^
2. --db-cluster-identifier mydbcluster ^
3. --rotate-master-user-password ^
4. --apply-immediately
```
### RDS-API
Sie können ein geheimes Masterbenutzerkennwort rotieren, indem [Sie den DBCluster Vorgang Ändern](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBCluster.html) verwenden und den `RotateMasterUserPassword` Parameter auf setzen`true`. Sie müssen den `ApplyImmediately`-Parameter auf `true` festlegen, wenn Sie das Hauptpasswort rotieren.
## Anzeigen der Details zu einem Secret für eine DB-Instance
Sie können Ihre Secrets mit der Konsole ([https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)) oder dem AWS CLI ([get-secret-value](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-secret-value.html)Secrets Manager Manager-Befehl) abrufen.
Sie finden den Amazon-Ressourcennamen (ARN) eines von RDS verwalteten Secrets im Secrets Manager mit der RDS-Konsole AWS CLI, der oder der RDS-API.
### Konsole
**So zeigen Sie die Details zu einem von RDS verwalteten Secret in Secrets Manager an**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon RDS-Konsole unter [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. Wählen Sie im Navigationsbereich **Datenbanken** aus.
1. Wählen Sie den Namen der entsprechenden DB-Instance aus, um deren Details anzuzeigen.
1. Wählen Sie die Registerkarte **Konfiguration** aus.
Unter **Master Credentials ARN** (ARN der Hauptanmeldeinformationen) können Sie den geheimen ARN einsehen.
![\[Die Details zu einem von RDS verwalteten Secret in Secrets Manager anzeigen\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/images/secrets-manager-integration-view-instance.png)
Sie können dem Link **Manage in Secrets Manager** (In Secrets Manager verwalten) folgen, um das Secret in der Secrets-Manager-Konsole anzuzeigen und zu verwalten.
### AWS CLI
Sie können den [describe-db-instances](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-instances.html)RDS-CLI-Befehl verwenden, um die folgenden Informationen zu einem von RDS verwalteten Geheimnis in Secrets Manager zu finden:
+ `SecretArn` – Der ARN des Secrets
+ `SecretStatus` – Der Status des Secrets
Mögliche Werte für den Status sind u. a. folgende:
+ `creating` – Das Secret wird erstellt.
+ `active` – Das Secret ist für den normalen Gebrauch und die Rotation verfügbar.
+ `rotating` – Das Secret wird rotiert.
+ `impaired` – Das Secret kann für den Zugriff auf Datenbankanmeldeinformationen verwendet werden, es kann jedoch nicht rotiert werden. Ein Secret kann diesen Status haben, wenn beispielsweise die Berechtigungen geändert werden, sodass RDS nicht mehr auf das Secret oder den KMS-Schlüssel für das Secret zugreifen kann.
Wenn ein Secret diesen Status hat, können Sie die Bedingung korrigieren, die den Status verursacht hat. Wenn Sie die Bedingung korrigieren, die den Status verursacht hat, behält der Status bis zur nächsten Rotation den Wert `impaired`. Alternativ können Sie die DB-Instance ändern, um die automatische Verwaltung von Datenbankanmeldeinformationen zu deaktivieren, und dann die DB-Instance erneut ändern, um die automatische Verwaltung von Datenbankanmeldeinformationen zu aktivieren. Verwenden Sie die `--manage-master-user-password` Option im [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html)Befehl, um die DB-Instance zu ändern.
+ `KmsKeyId` – Der ARN des KMS-Schlüssels, der verwendet wird, um das Secret zu verschlüsseln
Geben Sie die `--db-instance-identifier`-Option an, um die Ausgabe für eine bestimmte DB-Instance anzuzeigen. Dieses Beispiel zeigt die Ausgabe für ein Secret, das von einer DB-Instance verwendet wird.
**Example**
```
1. aws rds describe-db-instances --db-instance-identifier mydbinstance
```
Das folgende Beispiel zeigt die Ausgabe für ein Secret:
```
"MasterUserSecret": {
"SecretArn": "arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx",
"SecretStatus": "active",
"KmsKeyId": "arn:aws:kms:eu-west-1:123456789012:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
```
Wenn Sie über den geheimen ARN verfügen, können Sie mit dem [get-secret-value](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-secret-value.html)Secrets Manager-CLI-Befehl Details zum Secret Manager anzeigen.
Dieses Beispiel zeigt die Details für das Secret in der vorherigen Beispielausgabe.
**Example**
Für Linux, macOS oder Unix:
```
aws secretsmanager get-secret-value \
--secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'
```
Für Windows:
```
aws secretsmanager get-secret-value ^
--secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'
```
### RDS-API
Sie können den ARN, den Status und den KMS-Schlüssel für ein von RDS verwaltetes Geheimnis in Secrets Manager anzeigen, indem Sie den DBInstances Vorgang [Describe](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_DescribeDBInstances.html) verwenden und den `DBInstanceIdentifier` Parameter auf eine DB-Instance-ID setzen. Details zum Secret sind in der Ausgabe enthalten.
Wenn Sie über den geheimen ARN verfügen, können Sie mithilfe des [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html)Secrets Manager-Vorgangs Details zu dem Secret anzeigen.
## Details zu einem Geheimnis für einen Multi-AZ-DB-Cluster anzeigen
Sie können Ihre Secrets mit der Konsole ([https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)) oder dem AWS CLI ([get-secret-value](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-secret-value.html)Secrets Manager Manager-Befehl) abrufen.
Sie finden den Amazon-Ressourcennamen (ARN) eines von RDS verwalteten Secrets im Secrets Manager mit der RDS-Konsole AWS CLI, der oder der RDS-API.
### Konsole
**Um die Details zu einem von RDS verwalteten Geheimnis in Secrets Manager anzuzeigen**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon RDS-Konsole unter [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. Wählen Sie im Navigationsbereich **Datenbanken** aus.
1. Wählen Sie den Namen des Multi-AZ-DB-Clusters aus, um dessen Details anzuzeigen.
1. Wählen Sie die Registerkarte **Konfiguration** aus.
Unter **Master Credentials ARN** (ARN der Hauptanmeldeinformationen) können Sie den geheimen ARN einsehen.
![\[Die Details zu einem von RDS verwalteten Secret in Secrets Manager anzeigen\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/UserGuide/images/secrets-manager-integration-view-taz-cluster.png)
Sie können dem Link **Manage in Secrets Manager** (In Secrets Manager verwalten) folgen, um das Secret in der Secrets-Manager-Konsole anzuzeigen und zu verwalten.
### AWS CLI
Sie können den AWS CLI [describe-db-clusters](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-clusters.html)Befehl RDS verwenden, um die folgenden Informationen zu einem Secret zu finden, das von RDS in Secrets Manager verwaltet wird:
+ `SecretArn` – Der ARN des Secrets
+ `SecretStatus` – Der Status des Secrets
Mögliche Werte für den Status sind u. a. folgende:
+ `creating` – Das Secret wird erstellt.
+ `active` – Das Secret ist für den normalen Gebrauch und die Rotation verfügbar.
+ `rotating` – Das Secret wird rotiert.
+ `impaired` – Das Secret kann für den Zugriff auf Datenbankanmeldeinformationen verwendet werden, es kann jedoch nicht rotiert werden. Ein Secret kann diesen Status haben, wenn beispielsweise die Berechtigungen geändert werden, sodass RDS nicht mehr auf das Secret oder den KMS-Schlüssel für das Secret zugreifen kann.
Wenn ein Secret diesen Status hat, können Sie die Bedingung korrigieren, die den Status verursacht hat. Wenn Sie die Bedingung korrigieren, die den Status verursacht hat, behält der Status bis zur nächsten Rotation den Wert `impaired`. Alternativ können Sie den DB-Cluster ändern, um die automatische Verwaltung von Datenbankanmeldeinformationen zu deaktivieren, und dann den DB-Cluster erneut ändern, um die automatische Verwaltung von Datenbankanmeldeinformationen zu aktivieren. Verwenden Sie die `--manage-master-user-password` Option im [modify-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-cluster.html)Befehl, um den DB-Cluster zu ändern.
+ `KmsKeyId` – Der ARN des KMS-Schlüssels, der verwendet wird, um das Secret zu verschlüsseln
Geben Sie die `--db-cluster-identifier`-Option an, um die Ausgabe für einen bestimmten DB-Cluster anzuzeigen. Dieses Beispiel zeigt die Ausgabe für ein Secret, das von einem DB-Cluster verwendet wird.
**Example**
```
1. aws rds describe-db-clusters --db-cluster-identifier mydbcluster
```
Das folgende Beispiel zeigt die Ausgabe für ein Secret:
```
"MasterUserSecret": {
"SecretArn": "arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx",
"SecretStatus": "active",
"KmsKeyId": "arn:aws:kms:eu-west-1:123456789012:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
```
Wenn Sie über den geheimen ARN verfügen, können Sie mit dem [get-secret-value](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-secret-value.html)Secrets Manager-CLI-Befehl Details zum Secret Manager anzeigen.
Dieses Beispiel zeigt die Details für das Secret in der vorherigen Beispielausgabe.
**Example**
Für Linux, macOS oder Unix:
```
aws secretsmanager get-secret-value \
--secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'
```
Für Windows:
```
aws secretsmanager get-secret-value ^
--secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'
```
### RDS-API
Sie können den ARN, den Status und den KMS-Schlüssel für ein von RDS verwaltetes Geheimnis im Secrets Manager anzeigen, indem Sie den Vorgang [DBClustersDescribe](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_DescribeDBClusters.html) RDS verwenden und den `DBClusterIdentifier` Parameter auf eine DB-Cluster-ID setzen. Details zum Secret sind in der Ausgabe enthalten.
Wenn Sie über den geheimen ARN verfügen, können Sie mithilfe des [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html)Secrets Manager-Vorgangs Details zu dem Secret anzeigen.
## Anzeigen der Details zu einem Secret für eine Tenant-Datenbank
Sie können Ihre Secrets mit der Konsole ([https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/)) oder dem AWS CLI ([get-secret-value](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-secret-value.html)Secrets Manager Manager-Befehl) abrufen.
Den Amazon-Ressourcennamen (ARN) eines von Amazon RDS verwalteten Geheimnisses finden Sie in AWS Secrets Manager der Amazon RDS-Konsole AWS CLI, der oder der Amazon RDS-API.
### Konsole
**Um die Details zu einem von Amazon RDS verwalteten Geheimnis AWS Secrets Manager für eine Tenant-Datenbank anzuzeigen**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon RDS-Konsole unter [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. Wählen Sie im Navigationsbereich **Datenbanken** aus.
1. Wählen Sie den Namen der entsprechenden DB-Instance aus, die die Tenant-Datenbank enthält, um deren Details anzuzeigen.
1. Wählen Sie die Registerkarte **Konfiguration** aus.
Suchen Sie im Abschnitt **Tenant-Datenbanken** die Tenant-Datenbank und zeigen Sie ihren **Master-Anmeldeinformationen-ARN** an.
Sie können dem Link **Manage in Secrets Manager** (In Secrets Manager verwalten) folgen, um das Secret in der Secrets-Manager-Konsole anzuzeigen und zu verwalten.
### AWS CLI
Sie können den [describe-tenant-databases](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-tenant-databases.html)Amazon AWS CLI RDS-Befehl verwenden, um die folgenden Informationen über ein von Amazon RDS verwaltetes Geheimnis in AWS Secrets Manager einer Mandantendatenbank zu finden:
+ `SecretArn` – Der ARN des Secrets
+ `SecretStatus` – Der Status des Secrets
Mögliche Werte für den Status sind u. a. folgende:
+ `creating` – Das Secret wird erstellt.
+ `active` – Das Secret ist für den normalen Gebrauch und die Rotation verfügbar.
+ `rotating` – Das Secret wird rotiert.
+ `impaired` – Das Secret kann für den Zugriff auf Datenbankanmeldeinformationen verwendet werden, es kann jedoch nicht rotiert werden. Ein Secret kann diesen Status haben, wenn beispielsweise die Berechtigungen geändert werden, sodass Amazon RDS nicht mehr auf das Secret oder den KMS-Schlüssel für das Secret zugreifen kann.
Wenn ein Secret diesen Status hat, können Sie die Bedingung korrigieren, die den Status verursacht hat. Wenn Sie die Bedingung korrigieren, die den Status verursacht hat, behält der Status bis zur nächsten Rotation den Wert `impaired`. Alternativ können Sie die Tenant-Datenbank ändern, um die automatische Verwaltung von Datenbankanmeldeinformationen zu deaktivieren, und dann die Tenant-Datenbank erneut ändern, um die automatische Verwaltung von Datenbankanmeldeinformationen zu aktivieren. Um die Tenant-Datenbank zu ändern, verwenden Sie die `--manage-master-user-password` Option im [modify-tenant-database](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-tenant-database.html)Befehl.
+ `KmsKeyId` – Der ARN des KMS-Schlüssels, der verwendet wird, um das Secret zu verschlüsseln
Geben Sie die Option `--db-instance-identifier` an, um die Ausgabe für eine bestimmte DB-Instance anzuzeigen. Sie können auch die Option `--tenant-db-name` angeben, um die Ausgabe für eine bestimmte Tenant-Datenbank anzuzeigen. Dieses Beispiel zeigt die Ausgabe für ein Secret, das von einer Tenant-Datenbank verwendet wird.
**Example**
```
1. aws rds describe-tenant-databases \
2. --db-instance-identifier database-3 \
3. --query "TenantDatabases[0].MasterUserSecret"
```
Das folgende Beispiel zeigt die Ausgabe für ein Secret:
```
{
"SecretArn": "arn:aws:secretsmanager:us-east-2:123456789012:secret:rds!db-ABC123",
"SecretStatus": "active",
"KmsKeyId": "arn:aws:kms:us-east-2:123456789012:key/aa11bb22-####-####-####-fedcba123456"
}
```
Wenn Sie den geheimen ARN haben, können Sie mit dem [get-secret-value](https://docs.aws.amazon.com/cli/latest/reference/secretsmanager/get-secret-value.html)Secrets AWS CLI Manager-Befehl Details zum Secret anzeigen.
Dieses Beispiel zeigt die Details für das Secret in der vorherigen Beispielausgabe.
**Example**
Für Linux, macOS oder Unix:
```
aws secretsmanager get-secret-value \
--secret-id 'arn:aws:secretsmanager:us-east-2:123456789012:secret:rds!db-ABC123'
```
Für Windows:
```
aws secretsmanager get-secret-value ^
--secret-id 'arn:aws:secretsmanager:us-east-2:123456789012:secret:rds!db-ABC123'
```
### Amazon-RDS-API
Sie können den ARN, den Status und den KMS-Schlüssel für ein von Amazon RDS verwaltetes Geheimnis anzeigen, AWS Secrets Manager indem Sie den [DescribeTenantDatabases](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_DescribeTenantDatabases.html)Vorgang verwenden und den `DBInstanceIdentifier` Parameter auf eine DB-Instance-ID setzen. Sie haben auch die Möglichkeit, den Parameter `TenantDBName` auf einen bestimmten Namen der Tenant-Datenbank festzulegen. Details zum Secret sind in der Ausgabe enthalten.
Wenn Sie über den geheimen ARN verfügen, können Sie mithilfe des [GetSecretValue](https://docs.aws.amazon.com/secretsmanager/latest/apireference/API_GetSecretValue.html)Secrets Manager-Vorgangs Details zu dem Secret anzeigen.
## Verfügbarkeit von Regionen und Versionen
Die Verfügbarkeit von Funktionen und der Support variieren zwischen bestimmten Versionen der einzelnen Datenbank-Engines und in allen AWS-Regionen. Weitere Informationen zur Verfügbarkeit von Versionen und Regionen für die Integration von Secrets Manager in Amazon RDS finden Sie unter [Unterstützte Regionen und DB-Engines für die Integration von Secrets Manager mit Amazon RDS](Concepts.RDS_Fea_Regions_DB-eng.Feature.SecretsManager.md).