Gestione delle password con Amazon RDS e AWS Secrets Manager - Amazon Relational Database Service
LimitazioniPanoramicaVantaggiAutorizzazioni necessarie per l'integrazione di Secrets ManagerImplementazione della gestione da parte di RDSGestione della password dell'utente master per un'istanza databaseGestione della password dell'utente master per un cluster database multi-AZRotazione del segreto della password dell'utente master per un'istanza databaseRotazione del segreto della password dell'utente master per un cluster database multi-AZVisualizzazione dei dettagli di un segreto per un'istanza databaseVisualizzazione dei dettagli di un segreto per un cluster database multi-AZDisponibilità di regioni e versioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione delle password con Amazon RDS e AWS Secrets Manager

Amazon RDS si integra con Secrets Manager per gestire le password degli utenti master per le istanze database e i cluster database multi-AZ.

Limitazioni per l'integrazione di Secrets Manager con Amazon RDS

La gestione delle password degli utenti master con Secrets Manager non è supportata per le seguenti funzionalità:

  • Creazione di una replica di lettura quando il DB o il cluster DB di origine gestisce le credenziali con Secrets Manager. Questo vale per tutti i motori DB ad eccezione di RDS per SQL Server.

  • Implementazioni blu/verde di Amazon RDS

  • Amazon RDS Custom

  • Switchover Oracle Data Guard

  • RDS per Oracle con CDB

Panoramica della gestione delle password degli utenti principali con AWS Secrets Manager

Con AWS Secrets Manager, puoi sostituire le credenziali codificate nel codice, incluse le password del database, con una chiamata API a Secrets Manager per recuperare il segreto a livello di codice. Per ulteriori informazioni su Secrets Manager, consultare la Guida per l'utente di AWS Secrets Manager.

Quando memorizzi i segreti del database in Secrets Manager, ti vengono Account AWS addebitati dei costi. Per informazioni sui prezzi, consulta Prezzi di AWS Secrets Manager.

Puoi specificare che RDS gestisca la password dell'utente master in Secrets Manager per un'istanza database Amazon RDS o un cluster database multi-AZ quando esegui una delle seguenti operazioni:

  • Creazione dell'istanza database

  • Creazione del cluster database multi-AZ

  • Modifica dell'istanza database

  • Modifica del cluster database multi-AZ

  • Ripristino dell'istanza database da Amazon S3

Quando specifichi che RDS gestisce la password dell'utente master in Secrets Manager, RDS genera la password e la memorizza in Secrets Manager. Puoi interagire direttamente con il segreto per recuperare le credenziali dell'utente master. Puoi anche specificare una chiave gestita dal cliente per crittografare il segreto o utilizzare la chiave KMS fornita da Secrets Manager.

RDS gestisce le impostazioni del segreto e lo ruota ogni sette giorni per impostazione predefinita. È possibile modificare alcune impostazioni, ad esempio il programma di rotazione. Se si elimina un'istanza database che gestisce un segreto in Secrets Manager, vengono eliminati anche il segreto e i metadati associati.

Per connetterti a un'istanza database o a un cluster database multi-AZ con le credenziali in un segreto, puoi recuperare il segreto da Secrets Manager. Per ulteriori informazioni, consulta Recupera segreti da AWS Secrets Manager e Connettiti a un database SQL con credenziali in un AWS Secrets Manager segreto nella Guida per l'AWS Secrets Manager utente.

Vantaggi della gestione delle password degli utenti master con Secrets Manager

La gestione delle password degli utenti master RDS con Secrets Manager offre i seguenti vantaggi:

  • RDS genera automaticamente le credenziali del database.

  • RDS archivia e gestisce automaticamente le credenziali del database in. AWS Secrets Manager

  • RDS ruota regolarmente le credenziali del database, senza richiedere modifiche all'applicazione.

  • Secrets Manager protegge le credenziali del database dall'accesso umano e dalla visualizzazione in testo normale.

  • Secrets Manager consente il recupero delle credenziali del database nei segreti per le connessioni al database.

  • Secrets Manager consente un controllo dettagliato dell'accesso alle credenziali del database nei segreti utilizzando IAM.

  • Facoltativamente, puoi separare la crittografia del database dalla crittografia delle credenziali con chiavi KMS diverse.

  • Puoi eliminare la gestione manuale e la rotazione delle credenziali del database.

  • Puoi monitorare facilmente le credenziali del database con AWS CloudTrail Amazon CloudWatch.

Per ulteriori informazioni sui vantaggi di Secrets Manager, consulta la Guida per l'utente di AWS Secrets Manager.

Autorizzazioni necessarie per l'integrazione di Secrets Manager

Gli utenti devono disporre delle autorizzazioni necessarie per eseguire le operazioni relative all'integrazione di Secrets Manager. Puoi creare le policy IAM che concedono l'autorizzazione per eseguire operazioni API specifiche sulle risorse indicate necessarie. Puoi quindi collegare tali policy ai ruoli o ai set di autorizzazioni IAM che richiedono le autorizzazioni. Per ulteriori informazioni, consulta Gestione accessi e identità per Amazon RDS.

Per le operazioni di creazione, modifica o ripristino, l'utente che specifica che Amazon RDS gestisce la password dell'utente master in Secrets Manager deve disporre delle autorizzazioni per eseguire le seguenti operazioni:

  • kms:DescribeKey

  • secretsmanager:CreateSecret

  • secretsmanager:TagResource

Per le operazioni di creazione, modifica o ripristino, l'utente che specifica la chiave gestita dal cliente per crittografare il segreto in Secrets Manager deve disporre delle autorizzazioni per eseguire le seguenti operazioni:

  • kms:Decrypt

  • kms:GenerateDataKey

  • kms:CreateGrant

Per le operazioni di modifica, l'utente che ruota la password dell'utente master in Secrets Manager deve disporre delle autorizzazioni per eseguire la seguente operazione:

  • secretsmanager:RotateSecret

Applicazione della gestione RDS della password dell'utente principale in AWS Secrets Manager

È possibile utilizzare le chiavi di condizione IAM per implementare la gestione da parte di RDS della password dell'utente master in AWS Secrets Manager. La seguente policy non consente agli utenti di creare o ripristinare istanze database o cluster database a meno che la password dell'utente master non sia gestita da RDS in Secrets Manager.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": ["rds:CreateDBInstance", "rds:CreateDBCluster", "rds:RestoreDBInstanceFromS3", "rds:RestoreDBClusterFromS3"],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "rds:ManageMasterUserPassword": false
                }
            }
        }
    ]
}
Nota

Questa politica applica la gestione delle password al momento della creazione. AWS Secrets Manager Tuttavia, puoi comunque disabilitare l'integrazione di Secrets Manager e impostare manualmente una password master modificando l'istanza.

Per evitare questa procedura, includi rds:ModifyDBInstance, rds:ModifyDBCluster nel blocco operazione della policy. Tieni presente che in tal modo impedisci all'utente di applicare ulteriori modifiche alle istanze esistenti in cui non è abilitata l'integrazione di Secrets Manager.

Per ulteriori informazioni sull'utilizzo delle chiavi di condizione nelle policy IAM, consulta Chiavi di condizione delle policy per Amazon RDS e Policy di esempio: Utilizzo di chiavi di condizione.

Gestione della password dell'utente master per un'istanza database con Secrets Manager

È possibile configurare la gestione RDS della password dell'utente master in Secrets Manager eseguendo le seguenti operazioni:

È possibile utilizzare la console RDS AWS CLI, o l'API RDS per eseguire queste azioni.

Segui le istruzioni per creare o modificare un'istanza database con la console RDS:

Quando usi la console RDS per eseguire una di queste operazioni, è possibile specificare che la password dell'utente master sia gestita da RDS in Secrets Manager. A tale scopo durante la creazione o il ripristino di un'istanza database, seleziona Manage master credentials in AWS Secrets Manager (Gestione credenziali master in AWS Secrets Manager) in Credential settings (Impostazioni credenziali). Quando modifichi un'istanza database, seleziona Gestisci le credenziali master in AWS Secrets Manager in Impostazioni.

L'immagine seguente è un esempio di impostazione Manage master credentials in AWS Secrets Manager (Gestione credenziali master in AWS Secrets Manager) durante la creazione o il ripristino di un'istanza database.

Gestisci le credenziali principali in AWS Secrets Manager

Quando selezioni questa opzione, RDS genera la password dell'utente master e la gestisce per tutto il suo ciclo di vita in Secrets Manager.

Gestisci le credenziali principali in modalità selezionata AWS Secrets Manager

Puoi scegliere di crittografare il segreto con una chiave KMS fornita da Secrets Manager o con una chiave gestita dal cliente creata da te. Dopo che RDS gestisce le credenziali del database per un'istanza database, non puoi modificare la chiave KMS utilizzata per crittografare il segreto.

Puoi scegliere altre impostazioni per soddisfare le tue esigenze. Per ulteriori informazioni sulle impostazioni disponibili per la creazione di un'istanza database, consulta Impostazioni per istanze database. Per ulteriori informazioni sulle impostazioni disponibili per la modifica di un'istanza database, consulta Impostazioni per istanze database.

Per gestire la password dell'utente principale con RDS in Secrets Manager, specificare l'--manage-master-user-passwordopzione in uno dei seguenti AWS CLI comandi:

Quando si specifica l'opzione --manage-master-user-password in questi comandi, RDS genera la password dell'utente master e la gestisce per tutto il suo ciclo di vita in Secrets Manager.

Per crittografare il segreto, è possibile specificare una chiave gestita dal cliente o utilizzare la chiave KMS predefinita fornita da Secrets Manager. Per specificare la chiave gestita dal cliente usa l'opzione --master-user-secret-kms-key-id. L'identificatore della chiave AWS KMS è l'ARN della chiave, l'ID chiave, l'alias ARN o il nome alias per la chiave KMS. Per utilizzare una chiave KMS in un'altra chiave Account AWS, specifica la chiave ARN o l'alias ARN. Dopo che RDS gestisce le credenziali del database per un'istanza database, non puoi modificare la chiave KMS utilizzata per crittografare il segreto.

Puoi scegliere altre impostazioni per soddisfare le tue esigenze. Per ulteriori informazioni sulle impostazioni disponibili per la creazione di un'istanza database, consulta Impostazioni per istanze database. Per ulteriori informazioni sulle impostazioni disponibili per la modifica di un'istanza database, consulta Impostazioni per istanze database.

Questo esempio crea un'istanza database e specifica che RDS gestisce la password dell'utente master in Secrets Manager. Il segreto viene crittografato utilizzando la chiave KMS fornita da Secrets Manager.

PerLinux, o: macOS Unix

aws rds create-db-instance \
    --db-instance-identifier mydbinstance \
    --engine mysql \
    --engine-version 8.0.30 \
    --db-instance-class db.r5b.large \
    --allocated-storage 200 \
    --manage-master-user-password

Per Windows:

aws rds create-db-instance ^
    --db-instance-identifier mydbinstance ^
    --engine mysql ^
    --engine-version 8.0.30 ^
    --db-instance-class db.r5b.large ^
    --allocated-storage 200 ^
    --manage-master-user-password

Per specificare che RDS gestisce la password dell'utente master in Secrets Manager, imposta il parametro ManageMasterUserPassword su true in una delle seguenti operazioni API RDS:

Quando imposti il parametro ManageMasterUserPassword su true in una di queste operazioni, RDS genera la password dell'utente master e la gestisce per tutto il suo ciclo di vita in Secrets Manager.

Per crittografare il segreto, è possibile specificare una chiave gestita dal cliente o utilizzare la chiave KMS predefinita fornita da Secrets Manager. Per specificare la chiave gestita dal cliente usa il parametro MasterUserSecretKmsKeyId. L'identificatore della chiave AWS KMS è l'ARN della chiave, l'ID chiave, l'alias ARN o il nome alias per la chiave KMS. Per usate una chiave KMS in un Account AWS diverso, specifica l'ARN della chiave o dell'alias. Dopo che RDS gestisce le credenziali del database per un'istanza database, non puoi modificare la chiave KMS utilizzata per crittografare il segreto.

Gestione della password dell'utente master per un cluster database multi-AZ con Secrets Manager

È possibile configurare la gestione RDS della password dell'utente master in Secrets Manager eseguendo le seguenti operazioni:

È possibile utilizzare la console RDS, l'o l'API RDS per eseguire AWS CLI queste azioni.

Segui le istruzioni per creare o modificare un cluster database multi-AZ con la console RDS:

Quando usi la console RDS per eseguire una di queste operazioni, è possibile specificare che la password dell'utente master sia gestita da RDS in Secrets Manager. A tale scopo durante la creazione di un cluster database, seleziona Manage master credentials in AWS Secrets Manager (Gestione credenziali master in AWS Secrets Manager) in Credential settings (Impostazioni credenziali). Quando modifichi un cluster database, seleziona Manage master credentials in AWS Secrets Manager (Gestione credenziali master in AWS Secrets Manager) in Settings (Impostazioni).

L'immagine seguente è un esempio di impostazione Manage master credentials in AWS Secrets Manager (Gestione credenziali master in AWS Secrets Manager) durante la creazione di un cluster database.

Gestisci le credenziali principali in AWS Secrets Manager

Quando selezioni questa opzione, RDS genera la password dell'utente master e la gestisce per tutto il suo ciclo di vita in Secrets Manager.

Gestisci le credenziali principali in modalità selezionata AWS Secrets Manager

Puoi scegliere di crittografare il segreto con una chiave KMS fornita da Secrets Manager o con una chiave gestita dal cliente creata da te. Dopo che RDS gestisce le credenziali del database per un cluster database, non puoi modificare la chiave KMS utilizzata per crittografare il segreto.

Puoi scegliere altre impostazioni per soddisfare le tue esigenze.

Per ulteriori informazioni sulle impostazioni disponibili per la creazione di un cluster database multi-AZ, consulta Impostazioni per la creazione di cluster di database Multi-AZ. Per ulteriori informazioni sulle impostazioni disponibili per la modifica di un cluster database multi-AZ, consulta Impostazioni per la creazione di cluster di database Multi-AZ.

Per specificare che RDS gestisce la password dell'utente master in Secrets Manager, imposta l'opzione --manage-master-user-password in uno dei seguenti comandi:

Quando si specifica l'opzione --manage-master-user-password in questi comandi, RDS genera la password dell'utente master e la gestisce per tutto il suo ciclo di vita in Secrets Manager.

Per crittografare il segreto, è possibile specificare una chiave gestita dal cliente o utilizzare la chiave KMS predefinita fornita da Secrets Manager. Per specificare la chiave gestita dal cliente usa l'opzione --master-user-secret-kms-key-id. L'identificatore della chiave AWS KMS è l'ARN della chiave, l'ID chiave, l'alias ARN o il nome alias per la chiave KMS. Per utilizzare una chiave KMS in un'altra chiave Account AWS, specifica la chiave ARN o l'alias ARN. Dopo che RDS gestisce le credenziali del database per un cluster database, non puoi modificare la chiave KMS utilizzata per crittografare il segreto.

Puoi scegliere altre impostazioni per soddisfare le tue esigenze.

Per ulteriori informazioni sulle impostazioni disponibili per la creazione di un cluster database multi-AZ, consulta Impostazioni per la creazione di cluster di database Multi-AZ. Per ulteriori informazioni sulle impostazioni disponibili per la modifica di un cluster database multi-AZ, consulta Impostazioni per la creazione di cluster di database Multi-AZ.

Questo esempio crea un cluster database multi-AZ e specifica che RDS gestisce la password in Secrets Manager. Il segreto viene crittografato utilizzando la chiave KMS fornita da Secrets Manager.

PerLinux, o: macOS Unix

aws rds create-db-cluster \
   --db-cluster-identifier mysql-multi-az-db-cluster \
   --engine mysql \
   --engine-version 8.0.28  \
   --backup-retention-period 1  \
   --allocated-storage 4000 \
   --storage-type io1 \
   --iops 10000 \
   --db-cluster-instance-class db.r6gd.xlarge \
   --manage-master-user-password

Per Windows:

aws rds create-db-cluster ^
   --db-cluster-identifier mysql-multi-az-db-cluster ^
   --engine mysql ^
   --engine-version 8.0.28 ^
   --backup-retention-period 1 ^
   --allocated-storage 4000 ^
   --storage-type io1 ^
   --iops 10000 ^
   --db-cluster-instance-class db.r6gd.xlarge ^
   --manage-master-user-password

Per specificare che RDS gestisce la password dell'utente master in Secrets Manager, imposta il parametro ManageMasterUserPassword su true in una delle seguenti operazioni:

Quando imposti il parametro ManageMasterUserPassword su true in una di queste operazioni, RDS genera la password dell'utente master e la gestisce per tutto il suo ciclo di vita in Secrets Manager.

Per crittografare il segreto, è possibile specificare una chiave gestita dal cliente o utilizzare la chiave KMS predefinita fornita da Secrets Manager. Per specificare la chiave gestita dal cliente usa il parametro MasterUserSecretKmsKeyId. L'identificatore della chiave AWS KMS è l'ARN della chiave, l'ID chiave, l'alias ARN o il nome alias per la chiave KMS. Per usate una chiave KMS in un Account AWS diverso, specifica l'ARN della chiave o dell'alias. Dopo che RDS gestisce le credenziali del database per un cluster database, non puoi modificare la chiave KMS utilizzata per crittografare il segreto.

Rotazione del segreto della password dell'utente master per un'istanza database

Quando RDS ruota il segreto della password di un utente master, Secrets Manager genera una nuova versione del segreto esistente. La nuova versione del segreto contiene la nuova password dell'utente master. Amazon RDS modifica la password dell'utente master per l'istanza database in modo che corrisponda alla password per la nuova versione del segreto.

Puoi ruotare un segreto immediatamente invece di aspettare la rotazione programmata. Per ruotare il segreto della password dell'utente master in Secrets Manager, modifica l'istanza database. Per ulteriori informazioni sulla modifica di un'istanza database, consulta Modifica di un'istanza database Amazon RDS.

È possibile ruotare immediatamente la password segreta di un utente principale con la console RDS, l'API RDS o l'API RDS. AWS CLI La nuova password è sempre lunga 28 caratteri e contiene almeno un carattere maiuscolo e minuscolo, un numero e una punteggiatura.

Per ruotare il segreto della password dell'utente master utilizzando la console RDS, modifica l'istanza database e seleziona Rotate secret immediately (Ruota il segreto immediatamente) in Settings (Impostazioni).

Rotazione immediata del segreto della password dell'utente master

Per modificare un'istanza database con la console RDS segui le istruzioni presenti in Modifica di un'istanza database Amazon RDS. È necessario scegliere Apply immediately (Applica immediatamente) nella pagina di conferma.

Per ruotare la password segreta di un utente principale utilizzando il AWS CLI, usa il comando e specifica l'modify-db-instanceopzione. --rotate-master-user-password È necessario specificare l'opzione --apply-immediately quando si ruota la password master.

Questo esempio ruota il segreto della password dell'utente master.

Per LinuxmacOS, oUnix:

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --rotate-master-user-password \
    --apply-immediately

Per Windows:

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --rotate-master-user-password ^
    --apply-immediately

È possibile ruotare il segreto della password dell'utente master utilizzando l'operazione ModifyDBInstance e impostando il parametro RotateMasterUserPassword su true. È necessario impostare il parametro ApplyImmediately su true quando si ruota la password master.

Rotazione del segreto della password dell'utente master per un cluster database multi-AZ

Quando RDS ruota il segreto della password di un utente master, Secrets Manager genera una nuova versione del segreto esistente. La nuova versione del segreto contiene la nuova password dell'utente master. Amazon RDS modifica la password dell'utente master per il cluster database multi-AZ in modo che corrisponda alla password per la nuova versione del segreto.

Puoi ruotare un segreto immediatamente invece di aspettare la rotazione programmata. Per ruotare il segreto della password dell'utente master in Secrets Manager, modifica il cluster database multi-AZ. Per informazioni sulla modifica di un cluster database multi-AZ, consulta Modifica di un cluster di database Multi-AZ.

È possibile ruotare immediatamente la password segreta di un utente principale con la console RDS AWS CLI, o l'API RDS. La nuova password è sempre lunga 28 caratteri e contiene almeno un carattere maiuscolo e minuscolo, un numero e una punteggiatura.

Per ruotare il segreto della password dell'utente master utilizzando la console RDS, modifica il cluster database multi-AZ e seleziona Rotate secret immediately (Ruota il segreto immediatamente) in Settings (Impostazioni).

Rotazione immediata del segreto della password dell'utente master

Per modificare un cluster database multi-AZ con la console RDS segui le istruzioni presenti in Modifica di un cluster di database Multi-AZ. È necessario scegliere Apply immediately (Applica immediatamente) nella pagina di conferma.

Per ruotare la password segreta di un utente principale utilizzando il AWS CLI, usa il comando e specifica l'modify-db-clusteropzione. --rotate-master-user-password È necessario specificare l'opzione --apply-immediately quando si ruota la password master.

Questo esempio ruota il segreto della password dell'utente master.

Per LinuxmacOS, oUnix:

aws rds modify-db-cluster \
    --db-cluster-identifier mydbcluster \
    --rotate-master-user-password \
    --apply-immediately

Per Windows:

aws rds modify-db-cluster ^
    --db-cluster-identifier mydbcluster ^
    --rotate-master-user-password ^
    --apply-immediately

È possibile ruotare il segreto della password dell'utente master utilizzando l'operazione ModifyDBCluster e impostando il parametro RotateMasterUserPassword su true. È necessario impostare il parametro ApplyImmediately su true quando si ruota la password master.

Visualizzazione dei dettagli di un segreto per un'istanza database

Puoi recuperare i tuoi segreti utilizzando la console (https://console.aws.amazon.com/secretsmanager/) o il AWS CLI (comando get-secret-valueSecrets Manager).

Puoi trovare l'Amazon Resource Name (ARN) di un segreto gestito da RDS in Secrets Manager con la console RDS AWS CLI, o l'API RDS.

Per visualizzare i dettagli di un segreto gestito da RDS in Secrets Manager

  1. Accedi AWS Management Console e apri la console Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/.

  2. Nel riquadro di navigazione, scegli Databases (Database).

  3. Scegliere il nome dell'istanza database per visualizzarne i dettagli.

  4. Scegli la scheda Configurazione.

    In Master Credentials ARN (ARN credenziali master), puoi visualizzare l'ARN del segreto.

    Visualizza i dettagli di un segreto gestito da RDS in Secrets Manager

    Puoi selezionare il collegamento Manage in Secrets Manager (Gestisci in Secrets Manager) per visualizzare e gestire il segreto nella console di Secrets Manager.

È possibile utilizzare il comando describe-db-instancesRDS CLI per trovare le seguenti informazioni su un segreto gestito da RDS in Secrets Manager:

  • SecretArn: l'ARN del segreto

  • SecretStatus: lo stato del segreto

    I valori possibili per lo stato sono:

    • creating: il segreto è in fase di creazione.

    • active: il segreto è disponibile per l'uso normale e la rotazione.

    • rotating: il segreto è in fase di rotazione.

    • impaired: il segreto può essere utilizzato per accedere alle credenziali del database, ma non può essere ruotato. Un segreto può avere questo stato se, ad esempio, le autorizzazioni vengono modificate in modo che RDS non può più accedere al segreto o alla chiave KMS del segreto.

      Quando un segreto ha questo stato, puoi correggere la condizione che lo ha causato. Se correggi la condizione che ha causato lo stato, lo stato rimane impaired fino alla rotazione successiva. In alternativa, è possibile modificare l'istanza database per disattivare la gestione automatica delle credenziali del database e quindi modificare nuovamente l'istanza database per attivare la gestione automatica delle credenziali del database. Per modificare l'istanza DB, utilizzate l'--manage-master-user-passwordopzione nel comando. modify-db-instance

  • KmsKeyId: l'ARN della chiave KMS utilizzata per crittografare il segreto

Specifica l'opzione --db-instance-identifier per mostrare l'output per un'istanza database specifica. Questo esempio mostra l'output di un segreto utilizzato da un'istanza database.

aws rds describe-db-instances --db-instance-identifier mydbinstance

Di seguito è illustrato l'output di esempio di un segreto:

"MasterUserSecret": {
                "SecretArn": "arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx",
                "SecretStatus": "active",
                "KmsKeyId": "arn:aws:kms:eu-west-1:123456789012:key/0987dcba-09fe-87dc-65ba-ab0987654321"
            }

Quando si dispone dell'ARN segreto, è possibile visualizzare i dettagli sul segreto utilizzando il comando get-secret-valueSecrets Manager CLI.

Questo esempio mostra i dettagli del segreto nell'output di esempio precedente.

PerLinux, omacOS: Unix

aws secretsmanager get-secret-value \
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

Per Windows:

aws secretsmanager get-secret-value ^
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!db-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

È possibile visualizzare l'ARN, lo stato e la chiave KMS di un segreto gestito da RDS in Secrets Manager utilizzando l'operazione DescribeDBInstances e impostando il parametro DBInstanceIdentifier su un identificatore di istanza database. I dettagli del segreto sono inclusi nell'output.

Quando si dispone dell'ARN segreto, è possibile visualizzare i dettagli sul segreto utilizzando l'operazione GetSecretValueSecrets Manager.

Visualizzazione dei dettagli di un segreto per un cluster database multi-AZ

Puoi recuperare i tuoi segreti utilizzando la console (https://console.aws.amazon.com/secretsmanager/) o il AWS CLI (comando get-secret-valueSecrets Manager).

Puoi trovare l'Amazon Resource Name (ARN) di un segreto gestito da RDS in Secrets Manager con la console RDS AWS CLI, l'o l'API RDS.

Per visualizzare i dettagli di un segreto gestito da RDS in Secrets Manager

  1. Accedi AWS Management Console e apri la console Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/.

  2. Nel riquadro di navigazione, scegli Databases (Database).

  3. Scegli il nome del cluster database multi-AZ per visualizzarne i dettagli.

  4. Scegli la scheda Configurazione.

    In Master Credentials ARN (ARN credenziali master), puoi visualizzare l'ARN del segreto.

    Visualizza i dettagli di un segreto gestito da RDS in Secrets Manager

    Puoi selezionare il collegamento Manage in Secrets Manager (Gestisci in Secrets Manager) per visualizzare e gestire il segreto nella console di Secrets Manager.

È possibile utilizzare il AWS CLI describe-db-clusterscomando RDS per trovare le seguenti informazioni su un segreto gestito da RDS Aurora Manager:

  • SecretArn: l'ARN del segreto

  • SecretStatus: lo stato del segreto

    I valori possibili per lo stato sono:

    • creating: il segreto è in fase di creazione.

    • active: il segreto è disponibile per l'uso normale e la rotazione.

    • rotating: il segreto è in fase di rotazione.

    • impaired: il segreto può essere utilizzato per accedere alle credenziali del database, ma non può essere ruotato. Un segreto può avere questo stato se, ad esempio, le autorizzazioni vengono modificate in modo che RDS non può più accedere al segreto o alla chiave KMS del segreto.

      Quando un segreto ha questo stato, puoi correggere la condizione che lo ha causato. Se correggi la condizione che ha causato lo stato, lo stato rimane impaired fino alla rotazione successiva. In alternativa, è possibile modificare il cluster database per disattivare la gestione automatica delle credenziali del database e quindi modificare nuovamente il cluster database per attivare la gestione automatica delle credenziali del database. Per modificare il cluster DB, utilizzare l'--manage-master-user-passwordopzione nel comando. modify-db-cluster

  • KmsKeyId: l'ARN della chiave KMS utilizzata per crittografare il segreto

Specifica l'opzione --db-cluster-identifier per mostrare l'output per un cluster database specifico. Questo esempio mostra l'output di un segreto utilizzato da un cluster database.

aws rds describe-db-clusters --db-cluster-identifier mydbcluster

L'esempio seguente mostra l'output di un segreto:

"MasterUserSecret": {
                "SecretArn": "arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx",
                "SecretStatus": "active",
                "KmsKeyId": "arn:aws:kms:eu-west-1:123456789012:key/0987dcba-09fe-87dc-65ba-ab0987654321"
            }

Quando si dispone dell'ARN segreto, è possibile visualizzare i dettagli sul segreto utilizzando il comando get-secret-valueSecrets Manager CLI.

Questo esempio mostra i dettagli del segreto nell'output di esempio precedente.

PerLinux, omacOS: Unix

aws secretsmanager get-secret-value \
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

Per Windows:

aws secretsmanager get-secret-value ^
    --secret-id 'arn:aws:secretsmanager:eu-west-1:123456789012:secret:rds!cluster-033d7456-2c96-450d-9d48-f5de3025e51c-xmJRDx'

È possibile visualizzare l'ARN, lo stato e la chiave KMS di un segreto gestito da RDS in Secrets Manager utilizzando l'operazione RDS DescribeDBClusters e impostando il parametro DBClusterIdentifier su un identificatore di cluster database. I dettagli del segreto sono inclusi nell'output.

Quando si dispone dell'ARN segreto, è possibile visualizzare i dettagli sul segreto utilizzando l'operazione GetSecretValueSecrets Manager.

Disponibilità di regioni e versioni

Il supporto varia a seconda delle versioni specifiche di ciascun motore di database e a seconda delle Regioni AWS. Per ulteriori informazioni sulla disponibilità di versioni e regioni con l'integrazione di Secrets Manager con Amazon RDS, consulta Regioni e motori DB supportati per l'integrazione di Secrets Manager con Amazon RDS.