Verwaltung von Amazon Redshift Redshift-Administratorkennwörtern mit AWS Secrets Manager - Amazon Redshift
Für die AWS Secrets Manager Integration sind Berechtigungen erforderlichRotation des geheimen AdministratorkennwortsÜberlegungen zur Verwendung AWS Secrets Manager mit Amazon Redshift

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwaltung von Amazon Redshift Redshift-Administratorkennwörtern mit AWS Secrets Manager

Amazon Redshift kann integriert werden AWS Secrets Manager , um Ihre Administratoranmeldedaten innerhalb eines verschlüsselten Geheimnisses zu generieren und zu verwalten. Mit AWS Secrets Manager können Sie Ihre Admin-Passwörter durch einen API-Aufruf ersetzen, um das Geheimnis bei Bedarf programmgesteuert abzurufen. Die Verwendung von Secrets anstelle hartkodierter Anmeldeinformationen reduziert das Risiko für eine Offenlegung oder Kompromittierung dieser Anmeldeinformationen. Weitere Informationen zu AWS Secrets Manager finden Sie im AWS Secrets Manager Benutzerhandbuch.

Sie können angeben, dass Amazon Redshift Ihr Admin-Passwort verwaltet AWS Secrets Manager , indem Sie einen der folgenden Vorgänge ausführen:

  • Erstellen Sie einen bereitgestellten Cluster oder serverlosen Namespace

  • Bearbeiten, aktualisieren oder ändern Sie die Administratoranmeldeinformationen eines bereitgestellten Clusters oder serverlosen Namespaces

  • Stellen Sie einen Cluster oder serverlosen Namespace aus einem Snapshot wieder her

Wenn Sie angeben, dass Amazon Redshift das Administratorkennwort in verwaltet AWS Secrets Manager, generiert Amazon Redshift das Passwort und speichert es in Secrets Manager. Sie können direkt auf das Geheimnis zugreifen, AWS Secrets Manager um die Anmeldeinformationen für den Admin-Benutzer abzurufen. Optional können Sie einen vom Kunden verwalteten Schlüssel angeben, um das Geheimnis zu verschlüsseln, falls Sie von einem anderen AWS Konto aus auf das Geheimnis zugreifen müssen. Sie können auch den KMS-Schlüssel verwenden, der Folgendes AWS Secrets Manager bereitstellt.

Amazon Redshift verwaltet die Einstellungen für das Secret und rotiert das Secret standardmäßig alle 30 Tage. Sie können das Secret jederzeit manuell rotieren. Wenn Sie einen bereitgestellten Cluster oder serverlosen Namespace löschen, in dem ein geheimes Geheimnis verwaltet wird AWS Secrets Manager, werden das Geheimnis und die zugehörigen Metadaten ebenfalls gelöscht.

Um eine Verbindung zu einem Cluster oder serverlosen Namespace mit geheim verwalteten Anmeldeinformationen herzustellen, können Sie das Geheimnis AWS Secrets Manager mithilfe der Secrets Manager-Konsole oder des Secrets Manager-API-Aufrufs GetSecretValue abrufen. Weitere Informationen finden Sie im Benutzerhandbuch unter Abrufen von Geheimnissen aus AWS Secrets Manager und Herstellen einer Verbindung zu einer SQL-Datenbank mit Anmeldeinformationen in einem AWS Secrets Manager Geheimnis herstellen.AWS Secrets Manager

Für die AWS Secrets Manager Integration sind Berechtigungen erforderlich

Benutzer müssen die erforderlichen Berechtigungen besitzen, um Operationen im Zusammenhang mit der AWS Secrets Manager -Integration auszuführen. Sie können IAM-Richtlinien erstellen, die Berechtigungen zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die benötigt werden. Sie können diese Richtlinien dann den IAM-Berechtigungssätzen oder -Rollen anfügen, die diese Berechtigungen benötigen. Weitere Informationen finden Sie unter Identity and Access Management in Amazon Redshift.

Der Benutzer, der angibt, dass Amazon Redshift das Admin-Passwort verwaltet, AWS Secrets Manager muss über die erforderlichen Berechtigungen verfügen, um die folgenden Operationen durchzuführen:

  • secretsmanager:CreateSecret

  • secretsmanager:RotateSecret

  • secretsmanager:DescribeSecret

  • secretsmanager:UpdateSecret

  • secretsmanager:DeleteSecret

  • secretsmanager:GetRandomPassword

  • secretsmanager:TagResource

Wenn der Benutzer im Parameter MasterPasswordSecretKmsKeyId für bereitgestellte Cluster oder im Parameter AdminPasswordSecretKmsKeyId für Serverless-Namespaces einen KMS-Schlüssel übergeben möchte, benötigt er zusätzlich zu den oben aufgeführten Berechtigungen die folgenden Berechtigungen.

  • kms:Decrypt

  • kms:GenerateDataKey

  • kms:CreateGrant

  • kms:RetireGrant

Rotation des geheimen Administratorkennworts

Standardmäßig rotiert Amazon Redshift das Secret automatisch alle 30 Tage, um sicherzustellen, dass die Anmeldeinformationen nicht über einen längeren Zeitraum unverändert bleiben. Wenn Amazon Redshift ein geheimes Admin-Passwort rotiert, AWS Secrets Manager aktualisiert es das bestehende Secret, sodass es ein neues Admin-Passwort enthält. Amazon Redshift ändert das Administratorpasswort für den Cluster so, dass es mit dem Passwort im aktualisierten Secret übereinstimmt.

Sie können mit AWS Secrets Manager ein Secret sofort rotieren, anstatt auf eine geplante Rotation zu warten. Weitere Informationen zum Rotieren von Secrets finden Sie unter Rotieren von AWS Secrets Manager -Secrets im AWS Secrets Manager -Benutzerhandbuch.

Überlegungen zur Verwendung AWS Secrets Manager mit Amazon Redshift

Beachten Sie Folgendes AWS Secrets Manager , wenn Sie die Administratoranmeldedaten Ihres bereitgestellten Clusters oder Serverless-Namespaces zur Verwaltung verwenden:

  • Wenn Sie einen Cluster pausieren, dessen Administratoranmeldedaten verwaltet werden AWS Secrets Manager, wird der geheime Schlüssel Ihres Clusters nicht gelöscht und der geheime Schlüssel wird Ihnen weiterhin in Rechnung gestellt. Secrets werden nur gelöscht, wenn Sie den Cluster löschen.

  • Wenn Ihr Cluster angehalten wird, während Amazon Redshift versucht, das angefügte Secret zu rotieren, schlägt die Rotation fehl. In diesem Fall stoppt Amazon Redshift die automatische Rotation und versucht die Rotation nicht erneut, auch dann nicht, wenn Sie die Ausführung des Clusters fortsetzen. Sie müssen den Plan für die automatische Rotation über den API-Aufruf secretsmanager:RotateSecret erneut starten, damit AWS Secrets Manager das Secret weiter automatisch rotiert.

  • Wenn Ihrem serverlosen Namespace keine Arbeitsgruppe zugeordnet ist, wenn Amazon Redshift die Rotation des Secrets versucht, schlägt die Rotation fehl und wird nicht erneut versucht, auch dann nicht, wenn Sie eine Arbeitsgruppe hinzufügen. Sie müssen den Plan für die automatische Rotation über den API-Aufruf secretsmanager:RotateSecret erneut starten, damit AWS Secrets Manager das Secret weiter automatisch rotiert.