Siapkan rotasi pengguna tunggal untuk AWS Secrets Manager - AWS Secrets Manager
IzinPrasyaratLangkah 1: Buat pengguna RDS database AmazonLangkah 2: Buat rahasia untuk kredensi pengguna databaseLangkah 3: Uji kata sandi yang diputarLangkah 4: Bersihkan Sumber DayaLangkah selanjutnya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Siapkan rotasi pengguna tunggal untuk AWS Secrets Manager

Dalam tutorial ini, Anda belajar cara mengatur rotasi pengguna tunggal untuk rahasia yang berisi kredensi database. Rotasi pengguna tunggal adalah strategi rotasi di mana Secrets Manager memperbarui kredensi pengguna baik dalam rahasia maupun database. Untuk informasi selengkapnya, lihat Strategi rotasi: pengguna tunggal.

Setelah Anda menyelesaikan tutorial, kami sarankan Anda membersihkan sumber daya dari tutorial. Jangan menggunakannya dalam pengaturan produksi.

Rotasi Secrets Manager menggunakan AWS Lambda berfungsi untuk memperbarui rahasia dan database. Untuk informasi tentang biaya penggunaan fungsi Lambda, lihat. Harga

Izin

Untuk prasyarat tutorial, Anda memerlukan izin administratif untuk Akun AWS. Dalam pengaturan produksi, ini adalah praktik terbaik untuk menggunakan peran yang berbeda untuk setiap langkah. Misalnya, peran dengan izin admin database akan membuat RDS database Amazon, dan peran dengan izin admin jaringan akan mengatur grup VPC dan keamanan. Untuk langkah-langkah tutorial, kami sarankan Anda terus menggunakan identitas yang sama.

Untuk informasi tentang cara mengatur izin di lingkungan produksi, lihatOtentikasi dan kontrol akses untuk AWS Secrets Manager.

Prasyarat

Prasyarat untuk tutorial ini adalah. Siapkan rotasi pengguna bergantian untuk AWS Secrets Manager Jangan membersihkan sumber daya di akhir tutorial pertama. Setelah tutorial itu, Anda memiliki lingkungan yang realistis dengan RDS database Amazon dan rahasia Secrets Manager yang berisi kredensi admin untuk database. Anda juga memiliki rahasia kedua yang berisi kredensi untuk pengguna database, tetapi Anda tidak menggunakan rahasia itu dalam tutorial ini.

Anda juga memiliki koneksi yang dikonfigurasi di SQL Meja Kerja Saya untuk terhubung ke database dengan kredensi admin.

Langkah 1: Buat pengguna RDS database Amazon

Pertama, Anda memerlukan pengguna yang kredensialnya akan disimpan dalam rahasia. Untuk membuat pengguna, masuk ke RDS database Amazon dengan kredensi admin yang disimpan dalam rahasia. Untuk kesederhanaan, dalam tutorial, Anda membuat pengguna dengan izin penuh ke database. Dalam pengaturan produksi, ini tidak khas, dan kami menyarankan Anda mengikuti prinsip hak istimewa paling sedikit.

Untuk mengambil kata sandi admin

  1. Di RDS konsol Amazon, navigasikan ke database Anda.

  2. Pada tab Configuration, di bawah Master Credentials ARN, pilih Manage in Secrets Manager.

    Konsol Secrets Manager terbuka.

  3. Di halaman detail rahasia, pilih Ambil nilai rahasia.

  4. Kata sandi muncul di bagian Nilai rahasia.

Untuk membuat pengguna database

  1. Di SQL Meja Kerja Saya, klik kanan koneksi SecretsManagerTutorialdan kemudian pilih Edit Koneksi.

  2. Dalam kotak dialog Kelola Koneksi Server, untuk Nama Penggunaadmin, masukkan, lalu pilih Tutup.

  3. Kembali ke SQL Meja Kerja Saya, pilih koneksi SecretsManagerTutorial.

  4. Masukkan kata sandi admin yang Anda ambil dari rahasia.

  5. Di SQL Meja Kerja Saya, di jendela Query, masukkan perintah berikut (termasuk kata sandi yang kuat) dan kemudian pilih Jalankan. Fungsi rotasi menguji rahasia yang diperbarui dengan menggunakanSELECT, sehingga dbuser harus memiliki hak istimewa itu minimal.

    CREATE USER 'dbuser'@'%' IDENTIFIED BY 'EXAMPLE-PASSWORD';
GRANT SELECT ON myDB . * TO 'dbuser'@'%';

    Di jendela Output, Anda melihat perintah berhasil.

Langkah 2: Buat rahasia untuk kredensi pengguna database

Selanjutnya, Anda membuat rahasia untuk menyimpan kredensi pengguna yang baru saja Anda buat, dan Anda mengaktifkan rotasi otomatis, termasuk rotasi langsung. Secrets Manager memutar rahasia, yang berarti kata sandi dihasilkan secara terprogram - tidak ada manusia yang melihat kata sandi baru ini. Memulai rotasi segera juga dapat membantu Anda menentukan apakah rotasi diatur dengan benar.

  1. Buka konsol Secrets Manager di https://console.aws.amazon.com/secretsmanager/.

  2. Pilih Simpan rahasia baru.

  3. Pada halaman Pilih jenis rahasia, lakukan hal berikut:

    1. Untuk jenis Rahasia, pilih Credentials for Amazon RDS database.

    2. Untuk Kredensial, masukkan nama pengguna dbuser dan kata sandi yang Anda masukkan untuk pengguna database yang Anda buat menggunakan Meja Kerja SayaSQL.

    3. Untuk Database, pilih secretsmanagertutorialdb.

    4. Pilih Berikutnya.

  4. Pada halaman Konfigurasi rahasia, untuk nama Rahasia, masukkan SecretsManagerTutorialDbuser dan kemudian pilih Berikutnya.

  5. Pada halaman Konfigurasi rotasi, lakukan hal berikut:

    1. Nyalakan Rotasi otomatis.

    2. Untuk jadwal Rotasi, atur jadwal Hari: 2 Hari dengan Durasi:2h. Tetap Putar segera dipilih.

    3. Untuk fungsi Rotasi, pilih Buat fungsi rotasi, dan kemudian untuk nama fungsi, masukkantutorial-single-user-rotation.

    4. Untuk strategi Rotasi, pilih Single user.

    5. Pilih Berikutnya.

  6. Pada halaman Review, pilih Store.

    Secrets Manager kembali ke halaman detail rahasia. Di bagian atas halaman, Anda dapat melihat status konfigurasi rotasi. Secrets Manager menggunakan CloudFormation untuk membuat sumber daya seperti fungsi rotasi Lambda dan peran eksekusi yang menjalankan fungsi Lambda. Setelah CloudFormation selesai, spanduk berubah menjadi Rahasia yang dijadwalkan untuk rotasi. Rotasi pertama selesai.

Langkah 3: Uji kata sandi yang diputar

Setelah rotasi rahasia pertama, yang mungkin memakan waktu beberapa detik, Anda dapat memeriksa bahwa rahasia masih berisi kredenal yang valid. Kata sandi dalam rahasia telah berubah dari kredensi asli.

Untuk mengambil kata sandi baru dari rahasia

  1. Buka konsol Secrets Manager di https://console.aws.amazon.com/secretsmanager/.

  2. Pilih Rahasia, lalu pilih rahasianyaSecretsManagerTutorialDbuser.

  3. Pada halaman Detail rahasia, gulir ke bawah dan pilih Ambil nilai rahasia.

  4. Dalam tabel kunci/Nilai, salin nilai Rahasia untuk. password

Untuk menguji kredensialnya

  1. Di SQL Meja Kerja Saya, klik kanan koneksi SecretsManagerTutorialdan kemudian pilih Edit Koneksi.

  2. Dalam kotak dialog Kelola Koneksi Server, untuk Nama Penggunadbuser, masukkan, lalu pilih Tutup.

  3. Kembali ke SQL Meja Kerja Saya, pilih koneksi SecretsManagerTutorial.

  4. Di kotak dialog Open SSH Connection, untuk Kata Sandi, tempel kata sandi yang Anda ambil dari rahasia, lalu pilih OK.

    Jika kredensialnya valid, maka My SQL Workbench terbuka ke halaman desain untuk database.

Langkah 4: Bersihkan Sumber Daya

Untuk menghindari potensi biaya, hapus rahasia yang Anda buat dalam tutorial ini. Untuk petunjuk, silakan lihat Hapus AWS Secrets Manager rahasia.

Untuk membersihkan sumber daya yang dibuat dalam tutorial sebelumnya, lihatLangkah 4: Bersihkan Sumber Daya.

Langkah selanjutnya