Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione dei criteri AWS Identity and Access Management (IAM) per RDS Proxy
Dopo aver creato i segreti in Secrets Manager, si crea una IAM policy che consente di accedere a tali segreti. Per informazioni generali sull'utilizzoIAM, vedereGestione delle identità e degli accessi per Amazon RDS.
Suggerimento
La procedura seguente si applica se si utilizza la IAM console. Se usi il form AWS Management Console RDS, RDS può creare automaticamente la IAM policy per te. In tal caso, è possibile ignorare la seguente procedura.
Per creare una IAM policy che acceda ai segreti di Secrets Manager da utilizzare con il proxy
-
Accedi alla IAM console. Per il nuovo ruolo, aggiorna la politica delle autorizzazioni. Utilizza le stesse procedure generali utilizzate per la modifica delle IAM politiche. Incolla quanto segue JSON nella casella JSON di testo. Sostituire l'ID account. Sostituisci la tua AWS regione con.
us-east-2Sostituisci Amazon Resource Names (ARNs) con i segreti che hai creato, consulta Specificare KMS le chiavi nelle dichiarazioni IAM politiche. Per l'kms:Decryptazione, sostituisci la chiave ARN predefinita AWS KMS key o la tua. KMS La scelta dipende da quale hai usato per crittografare i segreti di Gestione dei segreti.{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": [ "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_1", "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_2" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-east-2:account_id:key/key_id", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com" } } } ] } -
Segui il processo di creazione del ruolo, come descritto in Creazione di IAM ruoli, scegliendo Creazione di un ruolo per delegare le autorizzazioni a un servizio. AWS
Scegli Servizio AWS in Tipo di entità attendibile. In Caso d'uso, seleziona RDSdal menu a discesa Casi d'uso per altri AWS servizi. Seleziona RDS- Aggiungi ruolo al database.
-
Modifica la politica di fiducia per questo IAM ruolo. Incolla quanto segue JSON nella casella JSON di testo.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "rds.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Il seguente comando esegue la stessa operazione tramite AWS CLI.
PREFIX=my_identifierUSER_ARN=$(aws sts get-caller-identity --query "Arn" --output text) aws iam create-role --role-namemy_role_name\ --assume-role-policy-document '{"Version":"2012-10-17","Statement":[{"Effect":"Allow","Principal":{"Service":["rds.amazonaws.com"]},"Action":"sts:AssumeRole"}]}' ROLE_ARN=arn:aws:iam::account_id:role/my_role_nameaws iam put-role-policy --role-name my_role_name \ --policy-name $PREFIX-secret-reader-policy --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": "secretsmanager:GetSecretValue", "Resource": [ "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_1", "arn:aws:secretsmanager:us-east-2:account_id:secret:secret_name_2" ] }, { "Sid": "VisualEditor1", "Effect": "Allow", "Action": "kms:Decrypt", "Resource": "arn:aws:kms:us-east-2:account_id:key/key_id", "Condition": { "StringEquals": { "kms:ViaService": "secretsmanager.us-east-2.amazonaws.com" } } } ] }
