Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configuration des politiques AWS Identity and Access Management (IAM) pour le RDS proxy
Après avoir créé les secrets dans Secrets Manager, vous devez créer une IAM politique qui permet d'accéder à ces secrets. Pour des informations générales sur l'utilisationIAM, voirGestion des identités et des accès pour Amazon RDS.
Astuce
La procédure suivante s'applique si vous utilisez la IAM console. Si vous utilisez le AWS Management Console forRDS, vous RDS pouvez créer automatiquement la IAM politique pour vous. Dans ce cas, vous pouvez ignorer la procédure suivante.
Pour créer une IAM politique qui accède aux secrets de votre Gestionnaire de Secrets Manager afin de les utiliser avec votre proxy
-
Connectez-vous à la IAM console. Pour le nouveau rôle, mettez à jour la politique d'autorisation. Utilisez les mêmes procédures générales que dans la section Modifier IAM les politiques. Collez le texte suivant JSON dans la zone de JSON texte. Indiquez votre propre ID de compte. Remplacez votre AWS région par
us-east-2
. Remplacez les secrets que vous avez créés par les Amazon Resource Names (ARNs), voir Spécification des KMS clés dans les déclarations IAM de politique. Remplacez l'kms:Decrypt
action par ARN la clé par défaut AWS KMS key ou par votre propre KMS clé. Celle que vous utilisez dépend de celle que vous avez utilisée pour chiffrer les secrets de Secrets Manager.{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": [ "arn:aws:secretsmanager:us-east-2:
account_id
:secret:secret_name_1
", "arn:aws:secretsmanager:us-east-2:account_id
:secret:secret_name_2
" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-east-2:account_id
:key/key_id
", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com" } } } ] } -
Suivez le processus de création de rôle, tel que décrit dans Création de IAM rôles, en choisissant Créer un rôle pour déléguer des autorisations à un AWS service.
Choisissez Service AWS pour Type d'entité de confiance. Sous Cas d'utilisation, sélectionnez dans RDSla liste déroulante Cas d'utilisation pour d'autres AWS services. Sélectionnez RDS- Ajouter un rôle à la base de données.
-
Modifiez la politique de confiance pour ce IAM rôle. Collez le texte suivant JSON dans la zone de JSON texte.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "rds.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Les commandes suivantes exécutent la même opération via le AWS CLI.
PREFIX=
my_identifier
USER_ARN=$(aws sts get-caller-identity --query "Arn" --output text) aws iam create-role --role-namemy_role_name
\ --assume-role-policy-document '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"Service":["rds.amazonaws.com"]},"Action":"sts:AssumeRole"}]}' ROLE_ARN=arn:aws:iam::account_id
:role/my_role_name
aws iam put-role-policy --role-name my_role_name \ --policy-name $PREFIX-secret-reader-policy --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": [ "arn:aws:secretsmanager:us-east-2:account_id
:secret:secret_name_1
", "arn:aws:secretsmanager:us-east-2:account_id
:secret:secret_name_2
" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-east-2:account_id
:key/key_id
", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com" } } } ] }