Mengelola kata sandi admin Amazon Redshift menggunakan AWS Secrets Manager - Amazon Redshift
Izin diperlukan untuk integrasi AWS Secrets ManagerRotasi rahasia kata sandi adminPertimbangan menggunakan Amazon AWS Secrets Manager Redshift

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola kata sandi admin Amazon Redshift menggunakan AWS Secrets Manager

Amazon Redshift dapat berintegrasi dengan AWS Secrets Manager untuk menghasilkan dan mengelola kredensi admin Anda di dalam rahasia terenkripsi. Dengan AWS Secrets Manager, Anda dapat mengganti kata sandi admin Anda dengan API panggilan untuk mengambil rahasia secara terprogram saat diperlukan. Menggunakan rahasia alih-alih kredensil hard-code mengurangi risiko kredensil tersebut terpapar atau dikompromikan. Untuk informasi selengkapnya AWS Secrets Manager, lihat Panduan AWS Secrets Manager Pengguna.

Anda dapat menentukan bahwa Amazon Redshift mengelola kata sandi admin Anda menggunakan AWS Secrets Manager saat Anda melakukan salah satu operasi berikut:

  • Buat klaster yang disediakan atau namespace tanpa server

  • Mengedit, memperbarui, atau memodifikasi kredensi admin dari klaster yang disediakan atau namespace tanpa server

  • Mengembalikan cluster atau namespace tanpa server dari snapshot

Saat Anda menentukan bahwa Amazon Redshift mengelola kata sandi admin di AWS Secrets Manager, Amazon Redshift membuat kata sandi dan menyimpannya di Secrets Manager. Anda dapat mengakses rahasia secara langsung AWS Secrets Manager untuk mengambil kredensi untuk pengguna admin. Secara opsional, Anda dapat menentukan kunci yang dikelola pelanggan untuk mengenkripsi rahasia jika Anda perlu mengakses rahasia dari akun lain AWS . Anda juga dapat menggunakan KMS kunci yang AWS Secrets Manager menyediakan.

Amazon Redshift mengelola pengaturan untuk rahasia dan memutar rahasia setiap 30 hari secara default. Anda dapat memutar rahasia secara manual kapan saja. Jika Anda menghapus klaster yang disediakan atau namespace tanpa server yang mengelola rahasia AWS Secrets Manager, rahasia dan metadata terkait juga akan dihapus.

Untuk menyambung ke klaster atau namespace tanpa server dengan kredensil yang dikelola rahasia, Anda dapat mengambil rahasia dari menggunakan AWS Secrets Manager konsol Secrets Manager atau panggilan Secrets Manager. GetSecretValue API Untuk informasi selengkapnya, lihat Mengambil rahasia dari AWS Secrets Manager dan Connect ke SQL database dengan kredensil dalam AWS Secrets Manager rahasia di Panduan Pengguna.AWS Secrets Manager

Izin diperlukan untuk integrasi AWS Secrets Manager

Pengguna harus memiliki izin yang diperlukan untuk melakukan operasi yang terkait dengan AWS Secrets Manager integrasi. Buat IAM kebijakan yang memberikan izin untuk melakukan API operasi tertentu pada sumber daya tertentu yang mereka butuhkan. Kemudian lampirkan kebijakan tersebut ke set IAM izin atau peran yang memerlukan izin tersebut. Untuk informasi selengkapnya, lihat Manajemen identitas dan akses di Amazon Redshift.

Pengguna yang menentukan bahwa Amazon Redshift mengelola kata sandi AWS Secrets Manager admin harus memiliki izin untuk melakukan operasi berikut:

  • secretsmanager:CreateSecret

  • secretsmanager:RotateSecret

  • secretsmanager:DescribeSecret

  • secretsmanager:UpdateSecret

  • secretsmanager:DeleteSecret

  • secretsmanager:GetRandomPassword

  • secretsmanager:TagResource

Jika pengguna ingin meneruskan KMS kunci dalam MasterPasswordSecretKmsKeyId parameter untuk kluster yang disediakan, atau AdminPasswordSecretKmsKeyId parameter untuk ruang nama tanpa server, mereka memerlukan izin berikut selain izin yang tercantum di atas.

  • kms:Decrypt

  • kms:GenerateDataKey

  • kms:CreateGrant

  • kms:RetireGrant

Rotasi rahasia kata sandi admin

Secara default, Amazon Redshift secara otomatis memutar rahasia Anda setiap 30 hari untuk memastikan kredensil Anda tidak tetap sama untuk waktu yang lama. Saat Amazon Redshift memutar rahasia kata sandi admin, AWS Secrets Manager memperbarui rahasia yang ada untuk memuat kata sandi admin baru. Amazon Redshift mengubah kata sandi admin untuk cluster agar sesuai dengan kata sandi dalam rahasia yang diperbarui.

Anda dapat memutar rahasia segera alih-alih menunggu rotasi terjadwal dengan menggunakan AWS Secrets Manager. Untuk informasi selengkapnya tentang memutar rahasia, lihat Memutar AWS Secrets Manager rahasia di Panduan AWS Secrets Manager Pengguna.

Pertimbangan menggunakan Amazon AWS Secrets Manager Redshift

Saat menggunakan AWS Secrets Manager untuk mengelola kredensi admin klaster atau namespace tanpa server yang disediakan, pertimbangkan hal berikut:

  • Saat Anda menjeda klaster yang kredensialnya dikelola oleh admin AWS Secrets Manager, rahasia klaster Anda tidak akan dihapus dan Anda akan terus ditagih untuk rahasia tersebut. Rahasia hanya dihapus ketika Anda menghapus cluster.

  • Jika klaster Anda dijeda saat Amazon Redshift mencoba memutar rahasia terlampirnya, rotasi akan gagal. Dalam hal ini, Amazon Redshift menghentikan rotasi otomatis dan tidak akan mencoba memutarnya lagi, bahkan setelah Anda melanjutkan cluster. Anda harus memulai ulang jadwal rotasi otomatis menggunakan secretsmanager:RotateSecret API panggilan untuk terus memutar rahasia Anda AWS Secrets Manager secara otomatis.

  • Jika namespace tanpa server Anda tidak memiliki grup kerja yang terkait saat Amazon Redshift mencoba memutar rahasia terlampirnya, rotasi akan gagal dan tidak akan mencoba memutarnya lagi, bahkan setelah Anda melampirkan grup kerja. Anda harus memulai ulang jadwal rotasi otomatis menggunakan secretsmanager:RotateSecret API panggilan untuk terus memutar rahasia Anda AWS Secrets Manager secara otomatis.