Création de la KMS clé Création des secrets de base de données Création du rôle IAM Mettre à jour la KMS clé Ajouter les politiques d'autorisation des IAM rôles

Configuration manuelle de l'authentification à la base de données et de l'accès aux ressources

Le processus manuel de configuration de l'authentification à la base de données et de l'accès aux ressources comprend les étapes suivantes :

Création de la solution gérée par le client AWS KMS key
Ajouter les politiques d'autorisation des IAM rôles
Création des secrets de base de données
Création du rôle IAM
Mettre à jour le système géré par le client AWS KMS key

Ce processus est facultatif et exécute les mêmes tâches que dansConfiguration de l'authentification à la base de données et de l'accès aux ressources à l'aide d'un script. Nous vous recommandons d'utiliser le script.

Création de la solution gérée par le client AWS KMS key

Suivez les procédures décrites dans Création de clés de chiffrement symétriques pour créer une clé gérée par le clientKMS. Vous pouvez également utiliser une clé existante si elle répond à ces exigences.

Pour créer une clé gérée par le client KMS

Connectez-vous à la AWS KMS console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/km.
Accédez à la page des clés gérées par le client.
Choisissez Create key.
Sur la page Configurer la clé :
1. Pour Type de clé, sélectionnez Symétrique.
2. Pour Utilisation des clés, sélectionnez Chiffrer et déchiffrer.
3. Choisissez Suivant.
Sur la page Ajouter des étiquettes, entrez un alias tel quelimitless, puis choisissez Next.
Sur la page Définir les autorisations administratives clés, assurez-vous que la case Autoriser les administrateurs clés à supprimer cette clé est cochée, puis choisissez Suivant.
Sur la page Définir des autorisations d'utilisation de clé, choisissez Suivant.
Dans la page Vérification, choisissez Terminer.

Vous mettrez à jour la politique clé ultérieurement.

Enregistrez les Amazon Resource Names (ARN) de la KMS clé à utiliser dansAjouter les politiques d'autorisation des IAM rôles.

Pour plus d'informations sur l'utilisation de AWS CLI pour créer la KMS clé gérée par le client, voir create-key et create-alias.

Création des secrets de base de données

Pour permettre à l'utilitaire de chargement de données d'accéder aux tables de base de données source et de destination, vous devez créer deux secrets AWS Secrets Manager : un pour la base de données source et un pour la base de données de destination. Ces secrets stockent les noms d'utilisateur et les mots de passe permettant d'accéder aux bases de données source et de destination.

Suivez les procédures décrites dans Créer un AWS Secrets Manager secret pour créer les secrets de la paire clé-valeur.

Pour créer les secrets de base de données

Ouvrez la console Secrets Manager à l'adresse https://console.aws.amazon.com/secretsmanager/.
Choisissez Store a new secret (Stocker un nouveau secret).
Sur la page Choisir le type de secret :
1. Pour Type de secret, sélectionnez Autre type de secret.
2. Pour les paires clé/valeur, choisissez l'onglet Texte en clair.
3. Entrez le JSON code suivant, d'où sourcedbpassword proviennent sourcedbreader les informations d'identification de l'utilisateur de la base de données sourceCréation des informations d'identification de la base de données source.
```
{
    "username":"sourcedbreader",
    "password":"sourcedbpassword"
}
```
4. Pour Clé de chiffrement, choisissez la KMS clé que vous avez créée dansCréation de la solution gérée par le client AWS KMS key, par exemplelimitless.
5. Choisissez Suivant.
Sur la page Configurer le secret, entrez un nom secret, tel quesource_DB_secret, puis choisissez Next.
Sur la page Configurer la rotation - facultatif, choisissez Next.
Sur la page Review (Vérification), choisissez Store (Stocker).
Répétez la procédure pour le secret de la base de données de destination :
1. Entrez le JSON code suivant, d'où destinationdbpassword proviennent destinationdbwriter les informations d'identification de l'utilisateur de la base de données de destinationCréation des informations d'identification de base de données de destination.
```
{
    "username":"destinationdbwriter",
    "password":"destinationdbpassword"
}
```
2. Entrez un nom secret, tel quedestination_DB_secret.

Enregistrez ARNs les secrets à utiliserAjouter les politiques d'autorisation des IAM rôles.

Création du rôle IAM

Le chargement des données nécessite que vous donniez accès aux AWS ressources. Pour fournir un accès, vous créez le aurora-data-loader IAM rôle en suivant les procédures décrites dans Création d'un rôle pour déléguer des autorisations à un IAM utilisateur.

Pour créer le rôle IAM

Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.
Accédez à la page Rôles.
Sélectionnez Créer un rôle.

Sur la page Sélectionner une entité de confiance :

Pour Type d'entité de confiance, sélectionnez Politique de confiance personnalisée.

Entrez le JSON code suivant pour la politique de confiance personnalisée :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "rds.amazonaws.com"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

Choisissez Suivant.

Sur la page Add permissions (Ajouter des autorisations), sélectionnez Next (Suivant).
Sur la page Nom, révision et création :
1. Dans Nom du rôle, entrez aurora-data-loader un autre nom que vous préférez.
2. Choisissez Ajouter une étiquette, puis entrez la balise suivante :
  - Clé : assumer
  - Value (Valeur) : aurora_limitless_table_data_load
  Important
  La base de données Aurora Postgre SQL Limitless ne peut assumer qu'un IAM rôle doté de cette balise.
3. Sélectionnez Créer un rôle.

Mettre à jour le système géré par le client AWS KMS key

Suivez les procédures décrites dans Modification d'une politique clé pour ajouter le IAM rôle aurora-data-loader à la stratégie clé par défaut.

Pour ajouter le IAM rôle à la politique clé

Connectez-vous à la AWS KMS console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/km.
Accédez à la page des clés gérées par le client.
Choisissez la KMS clé que vous avez créée dansCréation de la solution gérée par le client AWS KMS key, par exemplelimitless.
Dans l'onglet Politique clé, pour Utilisateurs clés, sélectionnez Ajouter.
Dans la fenêtre Ajouter des utilisateurs clés, sélectionnez le nom du IAM rôle dans lequel vous avez crééCréation du rôle IAM, par exemple aurora-data-loader.
Choisissez Ajouter.

Ajouter les politiques d'autorisation des IAM rôles

Vous devez ajouter des politiques d'autorisation au IAM rôle que vous avez créé. Cela permet à l'utilitaire de chargement de données Aurora Postgre SQL Limitless Database d'accéder aux AWS ressources associées pour établir des connexions réseau et récupérer les secrets d'identification de la base de données source et de destination.

Pour plus d’informations, consultez Modification d’un rôle.

Pour ajouter les politiques d'autorisation

Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.
Accédez à la page Rôles.
Choisissez le IAM rôle que vous avez créé dansCréation du rôle IAM, par exemple aurora-data-loader.
Dans l'onglet Autorisations, pour les politiques d'autorisations, choisissez Ajouter des autorisations, puis Créer une politique en ligne.
Sur la page Spécifier les autorisations, choisissez l'JSONéditeur.

Copiez et collez le modèle suivant dans l'JSONéditeur, en remplaçant les espaces réservés par le code secret et ARNs la KMS clé de votre base de données.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Ec2Permission",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeRegions",
                "ec2:DescribeVpcs",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkAcls"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SecretsManagerPermissions",
            "Effect": "Allow",
            "Action": [
                "secretsmanager:GetSecretValue",
                "secretsmanager:DescribeSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:us-east-1:123456789012:secret:source_DB_secret-ABC123",
                "arn:aws:secretsmanager:us-east-1:123456789012:secret:destination_DB_secret-456DEF"
            ]
        },        {
            "Sid": "KmsPermissions",
            "Effect": "Allow",
            "Action": [
                "kms:Decrypt",
                "kms:DescribeKey",
                "kms:GenerateDataKey"
            ],
            "Resource": "arn:aws:kms:us-east-1:123456789012:key/aa11bb22-####-####-####-fedcba123456"
        },
        {
            "Sid": "RdsPermissions",
            "Effect": "Allow",
            "Action": [
                "rds:DescribeDBClusters",
                "rds:DescribeDBInstances"
            ],
            "Resource": "*"
        }
    ]
}

Vérifiez les erreurs et corrigez-les.
Choisissez Suivant.
Sur la page Réviser et créer, entrez un nom de politique tel quedata_loading_policy, puis choisissez Créer une politique.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Configuration de l'accès à l'aide d'un script

Chargement de données dans une base de données illimitée