本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Amazon DocumentDB 和 進行密碼管理 AWS Secrets Manager
<a name="docdb-secrets-manager"></a>

Amazon DocumentDB 與 Secrets Manager 整合，以管理叢集的主要使用者密碼。

**Topics**
+ [Secrets Manager 與 Amazon DocumentDB 整合的限制](#asm-limitations)
+ [使用 管理主要使用者密碼的概觀 AWS Secrets Manager](#asm-overview)
+ [在 中強制執行主要使用者密碼的 Amazon DocumentDB 管理 AWS Secrets Manager](#asm-enforce)
+ [使用 Secrets Manager 管理叢集的主要使用者密碼](#asm-managing-pw)

## Secrets Manager 與 Amazon DocumentDB 整合的限制
<a name="asm-limitations"></a>

下列功能不支援使用 Secrets Manager 管理主要使用者密碼：
+ 屬於 Amazon DocumentDB 全域資料庫的叢集
+ Amazon DocumentDB 跨區域僅供讀取複本

## 使用 管理主要使用者密碼的概觀 AWS Secrets Manager
<a name="asm-overview"></a>

使用 AWS Secrets Manager時，您可以使用 API 呼叫 Secrets Manager 以程式設計方式擷取秘密，取代程式碼中的硬式編碼登入資料，包括資料庫密碼。如需 Secrets Manager 的詳細資訊，請參閱 [AWS Secrets Manager 使用者指南](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)。

當您將資料庫秘密存放在 Secrets Manager 時， AWS 您的帳戶會產生費用。如需定價的詳細資訊，請參閱 [AWS Secrets Manager 定價。](https://aws.amazon.com/secrets-manager/pricing/)

當您執行下列其中一個操作時，您可以指定 Amazon DocumentDB 在 Secrets Manager 中管理 Amazon DocumentDB 叢集的主要使用者密碼：
+ 建立叢集
+ 修改叢集

當您指定 Amazon DocumentDB 在 Secrets Manager 中管理主要使用者密碼時，Amazon DocumentDB 會產生密碼並將其存放在 Secrets Manager 中。您可以直接與秘密互動，以擷取主要使用者的登入資料。您也可以指定客戶受管金鑰來加密機密，或使用 Secrets Manager 提供的 KMS 金鑰。

Amazon DocumentDB 會管理秘密的設定，並依預設每七天輪換一次秘密。您可以修改某些設定，例如輪換排程。如果您刪除在 Secrets Manager 中管理秘密的叢集，則也會刪除秘密及其相關聯的中繼資料。

若要使用秘密中的登入資料連線到叢集，您可以從 Secrets Manager 擷取秘密。如需詳細資訊，請參閱*AWS Secrets Manager 《 使用者指南*》中的[從 取得秘密 AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets.html)，並使用 [JDBC 搭配 AWS Secrets Manager 秘密中的登入資料連線至 SQL 資料庫](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets_jdbc.html)。

## 在 中強制執行主要使用者密碼的 Amazon DocumentDB 管理 AWS Secrets Manager
<a name="asm-enforce"></a>

您可以使用 IAM 條件金鑰來強制執行主要使用者密碼的 Amazon DocumentDB 管理 AWS Secrets Manager。下列政策不允許使用者建立或還原執行個體或叢集，除非主要使用者密碼是由 Secrets Manager 中的 Amazon DocumentDB 管理。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "rds:CreateDBCluster"
            ],
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "rds:ManageMasterUserPassword": false
                }
            }
        }
    ]
}
```

------

## 使用 Secrets Manager 管理叢集的主要使用者密碼
<a name="asm-managing-pw"></a>

當您執行下列動作時，可以在 Secrets Manager 中設定主要使用者密碼的 Amazon DocumentDB 管理：
+ [建立 Amazon DocumentDB 叢集](db-cluster-create.md)
+ [修改 Amazon DocumentDB 叢集](db-cluster-modify.md)

您可以使用 Amazon DocumentDB 主控台或 AWS CLI 來執行這些動作。