Configurez la rotation pour un seul utilisateur pour AWS Secrets Manager - AWS Secrets Manager
AutorisationsPrérequisÉtape 1 : créer un utilisateur de RDS base de données AmazonÉtape 2 : créez un secret pour les informations d’identification de l'utilisateurÉtape 3 : tester le mot de passe ayant subi la rotationÉtape 4 : Nettoyer les ressourcesÉtapes suivantes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurez la rotation pour un seul utilisateur pour AWS Secrets Manager

Dans ce didacticiel, vous apprendrez comment configurer la rotation d'un utilisateur unique pour un secret contenant les informations d'identification d'administrateur de base de données. La rotation utilisateur unique est une stratégie de rotation dans laquelle Secrets Manager met à jour les informations d'identification d'un utilisateur dans le secret et dans la base de données. Pour de plus amples informations, veuillez consulter Stratégie de rotation : utilisateur unique.

Une fois le didacticiel terminé, nous vous recommandons d'en nettoyer les ressources. Ne les utilisez pas dans un environnement de production.

La rotation de Secrets Manager utilise un AWS Lambda fonction pour mettre à jour le secret et la base de données. Pour plus d'informations sur les coûts d'utilisation d'une fonction Lambda, consultez Tarification.

Autorisations

Pour les prérequis du didacticiel, vous devez disposer d'autorisations administratives sur votre Compte AWS. Dans un environnement de production, il est recommandé d'utiliser des rôles différents pour chacune des étapes. Par exemple, un rôle doté d'autorisations d'administrateur de base de données créerait la RDS base de données Amazon, et un rôle doté d'autorisations d'administrateur réseau configurerait les groupes de sécurité VPC et. Pour les étapes du tutoriel, nous vous recommandons de continuer à utiliser la même identité.

Pour plus d'informations sur la façon de configurer les autorisations dans un environnement de production, consultez Authentification et contrôle d'accès pour AWS Secrets Manager.

Prérequis

La condition préalable à ce tutoriel est : Configurez la rotation alternée des utilisateurs pour AWS Secrets Manager. Ne nettoyez pas les ressources à la fin du premier tutoriel. Après ce didacticiel, vous disposerez d'un environnement réaliste avec une RDS base de données Amazon et un secret Secrets Manager contenant les informations d'identification de l'administrateur de la base de données. Vous disposez également d'un second secret qui contient les informations d’identification d'un utilisateur de base de données, mais vous n'utiliserez pas ce secret dans ce didacticiel.

Vous disposez également d'une connexion configurée dans My SQL Workbench pour vous connecter à la base de données avec les informations d'identification de l'administrateur.

Étape 1 : créer un utilisateur de RDS base de données Amazon

Tout d'abord, vous avez besoin d'un utilisateur dont les informations d'identification seront stockées dans le secret. Pour créer l'utilisateur, connectez-vous à la RDS base de données Amazon avec des informations d'identification d'administrateur stockées dans un secret. Pour des raisons de simplicité, dans le didacticiel, vous allez créer un utilisateur avec des autorisations complètes sur une base de données. Dans un environnement de production, ce n'est pas courant et nous vous recommandons de respecter le principe du moindre privilège.

Pour récupérer le mot de passe administrateur

  1. Dans la RDS console Amazon, accédez à votre base de données.

  2. Dans l'onglet Configuration, sous Master Credentials ARN, choisissez Gérer dans Secrets Manager.

    La console Secrets Manager s’ouvre.

  3. Sur la page de détails de votre secret, sélectionnez Retrieve secret value (Récupérer la valeur du secret).

  4. Le mot de passe apparaît dans la section Valeur secrète.

Pour créer un utilisateur de base de données

  1. Dans My SQL Workbench, cliquez avec le bouton droit sur la connexion, SecretsManagerTutorialpuis choisissez Modifier la connexion.

  2. Dans la boite de dialogue Manage Server Connections (Gérer les connexions aux serveurs), pour Username (Nom d'utilisateur), saisissez admin, puis choisissez Close (Fermer).

  3. De retour dans My SQL Workbench, choisissez la connexion SecretsManagerTutorial.

  4. Saisissez le mot de passe administrateur que vous avez récupéré dans le secret.

  5. Dans My SQL Workbench, dans la fenêtre Requête, entrez les commandes suivantes (y compris un mot de passe fort), puis choisissez Execute. La fonction de rotation teste le secret mis à jour en utilisantSELECT, de sorte qu'ils dbuser doivent avoir ce privilège au minimum.

    CREATE USER 'dbuser'@'%' IDENTIFIED BY 'EXAMPLE-PASSWORD';
GRANT SELECT ON myDB . * TO 'dbuser'@'%';

    Dans la fenêtre Output (Sortie), vous voyez que les commandes sont réussies.

Étape 2 : créez un secret pour les informations d’identification de l'utilisateur

Ensuite, vous créez un secret pour stocker les informations d’identification de l'utilisateur que vous venez de créer, et vous activez la rotation automatique, y compris une rotation immédiate. Secrets Manager fait pivoter le secret, ce qui signifie que le mot de passe est généré par programme. Aucun humain n'a vu ce nouveau mot de passe. Le fait que la rotation commence immédiatement peut également vous aider à déterminer si la rotation est correctement configurée.

  1. Ouvrez la console Secrets Manager à l'adresse https://console.aws.amazon.com/secretsmanager/.

  2. Choisissez Store a new secret (Stocker un nouveau secret).

  3. Sur la page Choose secret type (Choisir un type de secret), procédez comme suit :

    1. Pour le type secret, choisissez Credentials for Amazon RDS database.

    2. Pour les informations d'identification, entrez le nom d'utilisateur dbuser et le mot de passe que vous avez saisis pour l'utilisateur de base de données que vous avez créé à l'aide SQL de My Workbench.

    3. Pour Database (Base de données), choisissez secretsmanagertutorialdb.

    4. Choisissez Suivant.

  4. Sur la page Configure secret (Configurer le secret), pour Secret name (Nom du secret), saisissez SecretsManagerTutorialDbuser puis choisissez Next (Suivant).

  5. Sur la page Configure rotation (Configuration de la rotation), procédez comme suit :

    1. Activez Automatic rotation (Rotation automatique).

    2. Pour Rotation schedule (Calendrier de rotation), définissez un calendrier de Days (Jours) : 2 Jours avec une Duration (Durée) :2h. Gardez Rotate immediately (Rotation immédiate) sélectionné.

    3. Pour Rotation function (Fonction de rotation), choisissez Create a rotation function (Créer une fonction de rotation), puis pour le nom de la fonction, saisissez tutorial-single-user-rotation.

    4. Pour Stratégie de rotation, choisissez Utilisateur unique.

    5. Choisissez Suivant.

  6. Sur la page Review (Vérification), choisissez Store (Stocker).

    Secrets Manager revient à la page des détails du secret. En haut de la page, vous pouvez voir l'état de la configuration de rotation. Secrets Manager permet CloudFormation de créer des ressources telles que la fonction de rotation Lambda et un rôle d'exécution qui exécute la fonction Lambda. Lorsque vous CloudFormation avez terminé, la bannière devient « Secret », dont la rotation est planifiée. La première rotation est configurée.

Étape 3 : tester le mot de passe ayant subi la rotation

Après la première rotation du secret, qui peut prendre quelques secondes, vous pouvez vérifier que le secret contient toujours des informations d'identification valides. Le mot de passe dans le secret a changé par rapport aux informations d'identification d'origine.

Pour récupérer le nouveau mot de passe du secret

  1. Ouvrez la console Secrets Manager à l'adresse https://console.aws.amazon.com/secretsmanager/.

  2. Choisissez Secrets, puis choisissez le secret SecretsManagerTutorialDbuser.

  3. Sur la page Secret details (Détails secrets), faites défiler l'écran vers le bas et choisissez Retrieve secret value (Récupération d'une valeur de secret).

  4. Dans le tableau Key/value (Clé/Valeur), copiez la Secret value (Valeur de secret) pour password.

Pour tester les informations d'identification

  1. Dans My SQL Workbench, cliquez avec le bouton droit sur la connexion, SecretsManagerTutorialpuis choisissez Modifier la connexion.

  2. Dans la boite de dialogue Manage Server Connections (Gérer les connexions aux serveurs), pour Username (Nom d'utilisateur), saisissez dbuser, puis choisissez Close (Fermer).

  3. De retour dans My SQL Workbench, choisissez la connexion SecretsManagerTutorial.

  4. Dans la boîte de dialogue Ouvrir SSH une connexion, pour Mot de passe, collez le mot de passe que vous avez extrait du secret, puis choisissez OK.

    Si les informations d'identification sont valides, My SQL Workbench s'ouvre sur la page de conception de la base de données.

Étape 4 : Nettoyer les ressources

Pour éviter des frais potentiels, supprimez le secret que vous avez créé dans ce tutoriel. Pour obtenir des instructions, consultez Supprimer un AWS Secrets Manager secret.

Pour nettoyer les ressources créées dans le didacticiel précédent, consultez Étape 4 : Nettoyer les ressources.

Étapes suivantes