Gestione delle password di amministrazione di Amazon Redshift tramite AWS Secrets Manager - Amazon Redshift
Autorizzazioni necessarie per l'integrazione AWS Secrets ManagerRotazione segreta della password dell'amministratoreConsiderazioni sull'utilizzo AWS Secrets Manager con Amazon Redshift

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestione delle password di amministrazione di Amazon Redshift tramite AWS Secrets Manager

Amazon Redshift può integrarsi con AWS Secrets Manager per generare e gestire le credenziali di amministratore all'interno di un segreto crittografato. Con AWS Secrets Manager, puoi sostituire le password di amministratore con una API chiamata per recuperare il segreto in modo programmatico quando è necessario. L'uso di credenziali segrete anziché a codifica fissa riduce il rischio che le credenziali vengano esposte o compromesse. Per ulteriori informazioni in merito AWS Secrets Manager, consulta la Guida per l'utente.AWS Secrets Manager

Puoi specificare che Amazon Redshift gestisca la tua password di amministratore utilizzando AWS Secrets Manager quando esegui una delle seguenti operazioni:

  • Crea un cluster predisposto o uno spazio dei nomi senza server

  • Modifica, aggiorna o modifica le credenziali di amministratore di un cluster o di uno spazio dei nomi serverless a cui è stato assegnato il provisioning

  • Ripristina un cluster o uno spazio dei nomi serverless da un'istantanea

Quando specifichi che Amazon Redshift gestisce la password di amministratore in AWS Secrets Manager, Amazon Redshift genera la password e la archivia in Secrets Manager. Puoi accedere al segreto direttamente in AWS Secrets Manager per recuperare le credenziali dell'utente amministratore. Facoltativamente, puoi specificare una chiave gestita dal cliente per crittografare il segreto se devi accedere al segreto da un altro account. AWS Puoi anche usare la KMS chiave che AWS Secrets Manager fornisce.

Amazon Redshift gestisce le impostazioni del segreto e lo ruota ogni 30 giorni per impostazione predefinita, ma puoi ruotare manualmente il segreto in qualsiasi momento. Se si elimina un cluster o uno spazio dei nomi serverless fornito che gestisce un secret in AWS Secrets Manager, vengono eliminati anche il segreto e i metadati associati.

Per connetterti a un cluster o a uno spazio dei nomi senza server con credenziali gestite da segreti, puoi recuperare il segreto utilizzando la console Secrets Manager o la chiamata AWS Secrets Manager Secrets Manager. GetSecretValue API Per ulteriori informazioni, consulta Recupera segreti da AWS Secrets Manager e Connettiti a un SQL database con credenziali in un AWS Secrets Manager segreto nella Guida per l'AWS Secrets Manager utente.

Autorizzazioni necessarie per l'integrazione AWS Secrets Manager

Gli utenti devono disporre delle autorizzazioni necessarie per eseguire le operazioni relative all'integrazione di AWS Secrets Manager . Crea IAM politiche che concedano le autorizzazioni per eseguire API operazioni specifiche sulle risorse specifiche di cui hanno bisogno. Quindi allega tali politiche ai set di IAM autorizzazioni o ai ruoli che richiedono tali autorizzazioni. Per ulteriori informazioni, consulta Identity and Access Management in Amazon Redshift.

L'utente che specifica che Amazon Redshift gestisce la password AWS Secrets Manager di amministratore deve disporre delle autorizzazioni per eseguire le seguenti operazioni:

  • secretsmanager:CreateSecret

  • secretsmanager:RotateSecret

  • secretsmanager:DescribeSecret

  • secretsmanager:UpdateSecret

  • secretsmanager:DeleteSecret

  • secretsmanager:GetRandomPassword

  • secretsmanager:TagResource

Se l'utente desidera passare una KMS chiave nel MasterPasswordSecretKmsKeyId parametro per i cluster forniti o il AdminPasswordSecretKmsKeyId parametro per i namespace senza server, richiede le seguenti autorizzazioni oltre alle autorizzazioni sopra elencate.

  • kms:Decrypt

  • kms:GenerateDataKey

  • kms:CreateGrant

  • kms:RetireGrant

Rotazione segreta della password dell'amministratore

Per impostazione predefinita, Amazon Redshift ruota automaticamente il segreto ogni 30 giorni per garantire che le credenziali non rimangano invariate per periodi prolungati. Quando Amazon Redshift rende segreta una password di amministratore, AWS Secrets Manager aggiorna la segreta esistente per contenere una nuova password di amministratore. Amazon Redshift modifica la password dell'amministratore per il cluster in modo che corrisponda alla password presente nel segreto aggiornato.

Con AWS Secrets Manager puoi ruotare un segreto immediatamente invece di aspettare la rotazione programmata. Per ulteriori informazioni sulla rotazione dei segreti, consulta Rotate AWS Secrets Manager secrets nella Guida per l'utente di AWS Secrets Manager .

Considerazioni sull'utilizzo AWS Secrets Manager con Amazon Redshift

Quando lo utilizzi AWS Secrets Manager per gestire le credenziali di amministratore del cluster o dello spazio dei nomi serverless fornito, considera quanto segue:

  • Quando metti in pausa un cluster le cui credenziali di amministratore sono gestite da AWS Secrets Manager, il segreto del cluster non verrà eliminato e continuerai a ricevere la fattura per il segreto. I segreti vengono eliminati solo quando elimini il cluster.

  • Se il cluster è sospeso quando Amazon Redshift tenta di ruotare il segreto associato, la rotazione avrà esito negativo. In questo caso, Amazon Redshift interrompe la rotazione automatica e non la ritenta, neanche dopo la ripresa del cluster. È necessario riavviare il programma di rotazione automatica utilizzando la secretsmanager:RotateSecret API chiamata per continuare a far ruotare AWS Secrets Manager automaticamente il segreto.

  • Se lo spazio dei nomi serverless non ha un gruppo di lavoro associato quando Amazon Redshift tenta di ruotare il segreto collegato, la rotazione avrà esito negativo e viene più ritentata, neanche dopo aver collegato un gruppo di lavoro. È necessario riavviare il programma di rotazione automatica utilizzando la secretsmanager:RotateSecret API chiamata per continuare a far ruotare AWS Secrets Manager automaticamente il segreto.