使用 Amazon DocumentDB 进行密码管理以及 Amazon Secrets Manager - Amazon DocumentDB
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Amazon DocumentDB 进行密码管理以及 Amazon Secrets Manager

Amazon DocumentDB 与 Secrets Manager 集成,用于管理集群的主用户密码。

Secrets Manager 与亚马逊 DocumentDB 集成的限制

以下功能不支持使用 Secrets Manager 管理主用户密码:

  • 属于 Amazon DocumentDB 全球数据库的集群

  • 亚马逊 DocumentDB 跨区域只读副本

使用管理主用户密码的概述 Amazon Secrets Manager

使用 Amazon Secrets Manager,您可以将代码中的硬编码凭据(包括数据库密码)替换为API调用 Secrets Manager 以编程方式检索密钥。有关 Secrets Manager 的更多信息,请参阅《Amazon Secrets Manager 用户指南》https://docs.amazonaws.cn/secretsmanager/latest/userguide/intro.html

当你在 Secrets Manager 中存储数据库密钥时,你的 Amazon 账户会产生费用。有关定价的信息,请参阅 Amazon Secrets Manager 定价

执行以下操作之一时,您可以指定 Amazon DocumentDB 在 Secrets Manager 中管理亚马逊文档数据库集群的主用户密码:

  • 创建集群

  • 修改集群

当你在 Secrets Manager 中指定由亚马逊文档数据库管理主用户密码时,Amazon DocumentDB 会生成密码并将其存储在 Secrets Manager 中。您可以直接与密钥交互以检索主用户的证书。您也可以指定客户管理的密钥来加密密钥,或者使用 Secrets Manager 提供的密KMS钥。

默认情况下,Amazon DocumentDB 管理密钥的设置,并且每七天轮换一次密钥。您可以修改某些设置,例如轮换计划。如果您在 Secrets Manager 中删除管理密钥的集群,则该密钥及其关联的元数据也会被删除。

要使用密钥中的凭据连接到集群,您可以从 Secrets Manager 中检索密钥。有关更多信息,请参阅《Amazon Secrets Manager 用户指南》中的从中获取密钥 Amazon Secrets Manager和使用 Amazon Secrets Manager 密钥中的JDBC凭据连接到SQL数据库

强制执行 Amazon DocumentDB 对主用户密码的管理 Amazon Secrets Manager

您可以使用IAM条件密钥强制执行 Amazon DocumentDB 对中的主用户密码的管理。 Amazon Secrets Manager除非主用户密码由 Amazon DocumentDB 在 Secrets Manager 中管理,否则以下策略不允许用户创建或恢复实例或集群。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": [ "rds:CreateDBCluster" ], "Resource": "*", "Condition": { "Bool": { "rds:ManageMasterUserPassword": false } } } ] }

使用 Secrets Manager 管理集群的主用户密码

执行以下操作时,您可以在 Secrets Manager 中配置 Amazon DocumentDB 对主用户密码的管理:

您可以使用亚马逊 DocumentDB 控制台或 Amazon CLI 来执行这些操作。