Gestione delle password con Amazon Aurora e AWS Secrets Manager

Aurora si integra con Secrets Manager per gestire le password degli utenti principali per le DB e i cluster DB Multi-AZ.

Disponibilità di regioni e versioni

Il supporto varia a seconda delle versioni specifiche di ciascun motore di database e a seconda delle Regioni AWS. Per ulteriori informazioni sulla disponibilità di versioni e regioni con l'integrazione di Secrets Manager con Amazon Aurora, consulta Regioni supportate e motori Aurora DB per l'integrazione di Secrets Manager.

Limitazioni per l'integrazione di Secrets Manager con Amazon Aurora

La gestione delle password degli utenti master con Secrets Manager non è supportata per le seguenti funzionalità:

Panoramica della gestione delle password degli utenti principali con AWS Secrets Manager

Con AWS Secrets Manager, puoi sostituire le credenziali codificate nel codice, incluse le password del database, con una chiamata a API Secrets Manager per recuperare il segreto a livello di codice. Per ulteriori informazioni su Secrets Manager, consultare la Guida per l'utente di AWS Secrets Manager.

Quando memorizzi i segreti del database in Secrets Manager, ti vengono Account AWS addebitati dei costi. Per informazioni sui prezzi, consulta Prezzi di AWS Secrets Manager.

Puoi specificare che Aurora gestisca la password dell'utente principale in Secrets Manager per DB quando esegui una delle seguenti operazioni:

Quando si specifica che Aurora gestisce la password dell'utente principale in Secrets Manager, Aurora genera la password e la archivia in Secrets Manager. Puoi interagire direttamente con il segreto per recuperare le credenziali dell'utente master. È inoltre possibile specificare una chiave gestita dal cliente per crittografare il segreto o utilizzare la KMS chiave fornita da Secrets Manager.

Aurora gestisce le impostazioni del segreto e lo ruota ogni sette giorni per impostazione predefinita. È possibile modificare alcune impostazioni, ad esempio il programma di rotazione. Se si elimina un cluster database che gestisce un segreto in Secrets Manager, vengono eliminati anche il segreto e i metadati associati.

Per connetterti a con le credenziali in un segreto, puoi recuperare il segreto da Secrets Manager. Per ulteriori informazioni, consulta Recupera segreti da AWS Secrets Manager e Connettiti a un SQL database con credenziali in un AWS Secrets Manager segreto nella Guida per l'AWS Secrets Manager utente.

Vantaggi della gestione delle password degli utenti master con Secrets Manager

La gestione delle password degli utenti master Aurora con Secrets Manager offre i seguenti vantaggi:

Per ulteriori informazioni sui vantaggi di Secrets Manager, consulta la Guida per l'utente di AWS Secrets Manager.

Autorizzazioni necessarie per l'integrazione di Secrets Manager

Gli utenti devono disporre delle autorizzazioni necessarie per eseguire le operazioni relative all'integrazione di Secrets Manager. Puoi creare IAM politiche che concedono le autorizzazioni per eseguire API operazioni specifiche sulle risorse specifiche di cui hanno bisogno. È quindi possibile allegare tali politiche ai set di IAM autorizzazioni o ai ruoli che richiedono tali autorizzazioni. Per ulteriori informazioni, consulta Gestione delle identità e degli accessi per Amazon Aurora.

Per le operazioni di creazione, modifica o ripristino, l'utente che specifica che Aurora gestisce la password dell'utente principale in Secrets Manager deve disporre delle autorizzazioni per eseguire le seguenti operazioni:

L'kms:DescribeKeyautorizzazione è necessaria per accedere alla chiave gestita dal cliente e per descriverla. MasterUserSecretKmsKeyId aws/secretsmanager

Per le operazioni di creazione, modifica o ripristino, l'utente che specifica la chiave gestita dal cliente per crittografare il segreto in Secrets Manager deve disporre delle autorizzazioni per eseguire le seguenti operazioni:

Per le operazioni di modifica, l'utente che ruota la password dell'utente master in Secrets Manager deve disporre delle autorizzazioni per eseguire la seguente operazione:

Applicazione della gestione Aurora della password dell'utente principale in AWS Secrets Manager

È possibile utilizzare le chiavi di IAM condizione per imporre la gestione da parte di Aurora della password dell'utente principale in. AWS Secrets Manager La seguente politica non consente agli utenti di creare o ripristinare istanze o cluster DB a meno che la password dell'utente principale non sia gestita da Aurora in Secrets Manager.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": ["rds:CreateDBInstance", "rds:CreateDBCluster", "rds:RestoreDBInstanceFromS3", "rds:RestoreDBClusterFromS3"],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "rds:ManageMasterUserPassword": false
                }
            }
        }
    ]
}

Per ulteriori informazioni sull'utilizzo delle chiavi condizionali nelle IAM politiche, vedere Chiavi relative alle condizioni delle politiche per Aurora ePolicy di esempio: Utilizzo di chiavi di condizione.

Gestione della password dell'utente master per un cluster database con Secrets Manager

È possibile configurare la gestione Aurora della password dell'utente principale in Secrets Manager quando si eseguono le seguenti azioni:

È possibile utilizzare la RDS console AWS CLI, il o il RDS API per eseguire queste azioni.

Segui le istruzioni per creare o modificare un cluster DB con la RDS console:

• Creazione di un cluster di database

• Modifica di un'istanza database in un cluster database

  Nella RDS console, è possibile modificare qualsiasi istanza DB per specificare le impostazioni di gestione delle password degli utenti principali per l'intero cluster DB.

• Ripristino di un cluster di database Amazon Aurora MySQL da un bucket Amazon S3

Quando si utilizza la RDS console per eseguire una di queste operazioni, è possibile specificare che la password dell'utente principale sia gestita da Aurora in Secrets Manager. A tale scopo durante la creazione o il ripristino di un cluster database, seleziona Manage master credentials in AWS Secrets Manager (Gestione credenziali master in AWS Secrets Manager) in Credential settings (Impostazioni credenziali). Quando modifichi un cluster database, seleziona Manage master credentials in AWS Secrets Manager (Gestione credenziali master in AWS Secrets Manager) in Settings (Impostazioni).

L'immagine seguente è un esempio di impostazione Manage master credentials in AWS Secrets Manager (Gestione credenziali master in AWS Secrets Manager) durante la creazione o il ripristino di un cluster database.

Quando si seleziona questa opzione, Aurora genera la password utente principale e la gestisce per tutto il suo ciclo di vita in Secrets Manager.

Puoi scegliere di crittografare il segreto con una KMS chiave fornita da Secrets Manager o con una chiave gestita dal cliente creata da te. Dopo che Aurora ha gestito le credenziali del database per un cluster DB, non è possibile modificare la KMS chiave utilizzata per crittografare il segreto.

Puoi scegliere altre impostazioni per soddisfare le tue esigenze.

Per ulteriori informazioni sulle impostazioni disponibili per la creazione di un cluster database, consulta Impostazioni per cluster di database Aurora. Per ulteriori informazioni sulle impostazioni disponibili per la modifica di un cluster database, consulta Impostazioni per Amazon Aurora.

Per specificare che Aurora gestisce la password dell'utente principale in Secrets Manager, specifica l'--manage-master-user-passwordopzione in uno dei seguenti comandi:

• create-db-cluster

• modify-db-cluster

• restore-db-cluster-from-s3

Quando si specifica l'--manage-master-user-passwordopzione in questi comandi, Aurora genera la password dell'utente principale e la gestisce per tutto il suo ciclo di vita in Secrets Manager.

Per crittografare il segreto, puoi specificare una chiave gestita dal cliente o utilizzare la KMS chiave predefinita fornita da Secrets Manager. Per specificare la chiave gestita dal cliente usa l'opzione --master-user-secret-kms-key-id. L'identificatore della AWS KMS chiave è la chiaveARN, l'ID della chiave, l'alias ARN o il nome alias della chiave. KMS Per utilizzare una KMS chiave in un'altra chiave Account AWS, specificate la chiave ARN o l'alias. ARN Dopo che Aurora ha gestito le credenziali del database per un cluster DB, non è possibile modificare la KMS chiave utilizzata per crittografare il segreto.

Puoi scegliere altre impostazioni per soddisfare le tue esigenze.

Per ulteriori informazioni sulle impostazioni disponibili per la creazione di un cluster database, consulta Impostazioni per cluster di database Aurora. Per ulteriori informazioni sulle impostazioni disponibili per la modifica di un cluster database, consulta Impostazioni per Amazon Aurora.

Questo esempio crea un cluster DB e specifica che Aurora gestisce la password in Secrets Manager. Il segreto viene crittografato utilizzando la KMS chiave fornita da Secrets Manager.

In Linux, macOS, oppure Unix:

aws rds create-db-cluster \
     --db-cluster-identifier sample-cluster \
     --engine aurora-mysql \
     --engine-version 8.0 \
     --master-username admin \
     --manage-master-user-password

In Windows:

aws rds create-db-cluster ^
     --db-cluster-identifier sample-cluster ^
     --engine aurora-mysql ^
     --engine-version 8.0 ^
     --master-username admin ^
     --manage-master-user-password

Per specificare che Aurora gestisce la password dell'utente principale in Secrets Manager, imposta il ManageMasterUserPassword parametro su true in una delle seguenti operazioni:

• CreateDBCluster

• ModifyDBCluster

• R di estoreDBCluster S3

Quando si imposta il ManageMasterUserPassword parametro su true in una di queste operazioni, Aurora genera la password utente principale e la gestisce per tutto il suo ciclo di vita in Secrets Manager.

Per crittografare il segreto, puoi specificare una chiave gestita dal cliente o utilizzare la KMS chiave predefinita fornita da Secrets Manager. Per specificare la chiave gestita dal cliente usa il parametro MasterUserSecretKmsKeyId. L'identificatore della AWS KMS chiave è la chiaveARN, l'ID della chiave, l'alias ARN o il nome alias della chiave. KMS Per utilizzare una KMS chiave in un'altra chiave Account AWS, specificate la chiave ARN o l'alias. ARN Dopo che Aurora ha gestito le credenziali del database per un cluster DB, non è possibile modificare la KMS chiave utilizzata per crittografare il segreto.

Rotazione del segreto della password dell'utente master per un cluster database

Quando Aurora rende segreta la password di un utente principale, Secrets Manager genera una nuova versione segreta per il segreto esistente. La nuova versione del segreto contiene la nuova password dell'utente master. Aurora modifica la password dell'utente principale per il cluster DB in modo che corrisponda alla password della nuova versione segreta.

Puoi ruotare un segreto immediatamente invece di aspettare la rotazione programmata. Per ruotare il segreto della password dell'utente master in Secrets Manager, modifica il cluster database . Per informazioni sulla modifica di un cluster database, consulta Modifica di un cluster database Amazon Aurora.

Puoi ruotare immediatamente la password segreta di un utente principale con la RDS console, il, o il AWS CLI. RDS API La nuova password è sempre lunga 28 caratteri e contiene almeno un carattere maiuscolo e minuscolo, un numero e una punteggiatura.

Per ruotare la password segreta di un utente principale utilizzando la RDS console, modifica il cluster DB e seleziona Ruota segreto immediatamente in Impostazioni.

Modifica del cluster DB utilizzando la console CLI e API. È necessario scegliere Apply immediately (Applica immediatamente) nella pagina di conferma.

Per ruotare la password segreta di un utente principale utilizzando il AWS CLI, usa il modify-db-clustercomando e specifica l'--rotate-master-user-passwordopzione. È necessario specificare l'opzione --apply-immediately quando si ruota la password master.

Questo esempio ruota il segreto della password dell'utente master.

In Linux, macOS, oppure Unix:

aws rds modify-db-cluster \
    --db-cluster-identifier mydbcluster \
    --rotate-master-user-password \
    --apply-immediately

In Windows:

aws rds modify-db-cluster ^
    --db-cluster-identifier mydbcluster ^
    --rotate-master-user-password ^
    --apply-immediately

È possibile ruotare una password utente principale segreta utilizzando l'odifyDBClusteroperazione M e impostando il RotateMasterUserPassword parametro sutrue. È necessario impostare il parametro ApplyImmediately su true quando si ruota la password master.

Visualizzazione dei dettagli di un segreto per un cluster database

Puoi recuperare i tuoi segreti usando la console (https://console.aws.amazon.com/secretsmanager/) o il comando AWS CLI (get-secret-valueSecrets Manager).

Puoi trovare l'Amazon Resource Name (ARN) di un segreto gestito da Aurora in Secrets Manager con la RDS console, il AWS CLI, o il. RDS API

aws rds describe-db-clusters --db-cluster-identifier mydbcluster

"MasterUserSecret": {
                "SecretArn": "arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx",
                "SecretStatus": "active",
                "KmsKeyId": "arn:aws:kms:eu-west-1:123456789012:key/0987dcba-09fe-87dc-65ba-ab0987654321"
            }

aws secretsmanager get-secret-value \
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

aws secretsmanager get-secret-value ^
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'