Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menyiapkan AWS Identity and Access Management (IAM) kebijakan untuk RDS Proxy
Setelah Anda membuat rahasia di Secrets Manager, Anda membuat IAM kebijakan yang dapat mengakses rahasia tersebut. Untuk informasi umum tentang penggunaanIAM, lihatManajemen identitas dan akses untuk Aurora.
Tip
Prosedur berikut berlaku jika Anda menggunakan IAM konsol. Jika Anda menggunakan AWS Management Console forRDS, RDS dapat membuat IAM kebijakan untuk Anda secara otomatis. Dalam kasus ini, Anda dapat melewati prosedur berikut.
Untuk membuat IAM kebijakan yang mengakses rahasia Secrets Manager Anda untuk digunakan dengan proxy Anda
-
Masuk ke IAM konsol. Untuk peran baru, perbarui kebijakan izin. Gunakan prosedur umum yang sama seperti dalam IAMkebijakan Pengeditan. Tempelkan berikut ini JSON ke dalam kotak JSON teks. Ganti ID akun Anda sendiri. Gantikan AWS Wilayah Anda untuk
us-east-2
. Gantikan Amazon Resource Names (ARNs) untuk rahasia yang Anda buat, lihat Menentukan KMS kunci dalam pernyataan IAM kebijakan. Untukkms:Decrypt
tindakan, gantikan default AWS KMS key atau KMS kunci Anda sendiri. ARN Mana yang Anda gunakan bergantung pada mana yang Anda gunakan untuk mengenkripsi rahasia Secrets Manager.{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": [ "arn:aws:secretsmanager:us-east-2:
account_id
:secret:secret_name_1
", "arn:aws:secretsmanager:us-east-2:account_id
:secret:secret_name_2
" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-east-2:account_id
:key/key_id
", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com" } } } ] } -
Ikuti proses Buat peran, seperti yang dijelaskan dalam Membuat IAM peran, memilih Membuat peran untuk mendelegasikan izin ke layanan. AWS
Pilih Layanan AWS untuk Jenis entitas tepercaya. Di bawah Kasus penggunaan, pilih RDSdari Dropdown kasus penggunaan untuk AWS layanan lain. Pilih RDS- Tambahkan Peran ke Database.
-
Edit kebijakan kepercayaan untuk IAM peran ini. Tempelkan berikut ini JSON ke dalam kotak JSON teks.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "rds.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Perintah berikut akan melakukan operasi yang sama melalui AWS CLI.
PREFIX=
my_identifier
USER_ARN=$(aws sts get-caller-identity --query "Arn" --output text) aws iam create-role --role-namemy_role_name
\ --assume-role-policy-document '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"Service":["rds.amazonaws.com"]},"Action":"sts:AssumeRole"}]}' ROLE_ARN=arn:aws:iam::account_id
:role/my_role_name
aws iam put-role-policy --role-name my_role_name \ --policy-name $PREFIX-secret-reader-policy --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": [ "arn:aws:secretsmanager:us-east-2:account_id
:secret:secret_name_1
", "arn:aws:secretsmanager:us-east-2:account_id
:secret:secret_name_2
" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-east-2:account_id
:key/key_id
", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com" } } } ] }