定期的に自動的にローテーションされる動的ApsaraDB RDSシークレットを作成できます。 これにより、ApsaraDB RDSシークレットリークのリスクが軽減されます。 このトピックでは、Key Management Service (KMS) コンソールで動的ApsaraDB RDSシークレットを作成、削除、および復元する方法について説明します。

始める前に

  • ApsaraDB RDSインスタンスが作成されました。 詳細については、「ApsaraDB RDS for MySQL インスタンスの作成」をご参照ください。
  • RAMユーザーまたはRAMロールを使用してシークレットを管理する場合は、RAMユーザーまたはRAMロールにシステムポリシーAliyunKMSSecretAdminAccessをアタッチする必要があります。 このポリシーは、次の権限を付与します。
    • Secrets Managerの機能を使用するための権限。
    • ApsaraDB RDSインスタンスを照会し、アカウントを管理するための権限。
    • マネージドApsaraDB RDSシークレットを作成できるサービスにリンクされたロールを作成する権限。

動的ApsaraDB RDSシークレットの作成

  1. KMS コ ンソールにログインします。
  2. 上部のナビゲーションバーで、シークレットを作成するリージョンを選択します。
  3. 左側のナビゲーションウィンドウで、[秘密] をクリックします。
  4. [シークレットの作成] をクリックします。
  5. [シークレットの作成] ダイアログボックスで、次のパラメーターを設定し、[次へ] をクリックします。
    • [タイプの選択]: [RDSのマネージド資格] を選択します。
    • Secret name: シークレットの名前を指定します。
    • [RDSインスタンスの選択]: Alibaba Cloudアカウント内の既存のApsaraDB RDSインスタンスを選択します。
    • シークレット値の設定: シークレットを管理するモードを選択し、シークレット値を設定します。
      • デュアルアカウントの管理: このモードは、アプリケーションがApsaraDB RDSインスタンスにアクセスするためにシークレットを使用するシナリオに適用されます。 このモードを選択することを推奨します。 このモードでは、KMSは同じ権限を持つ2つのアカウントを管理します。 このモードでは、シークレットのローテーション時にアプリケーションとApsaraDB RDSインスタンス間の接続が中断されないようにします。
        • [ワンクリックの作成と承認] タブをクリックし、アカウント名のプレフィックスを指定し、データベースを選択してから権限を指定します。
          KMSはすぐにアカウントを作成しません。 KMSは、秘密情報を確認して確認した後にアカウントを作成します。
        • [既存のアカウントのインポート] タブをクリックし、アカウントを選択して、アカウントのパスワードを指定します。
          ApsaraDB RDSインスタンスの作成時にアカウントに指定したパスワードと同じパスワードを指定することを推奨します。 インポートされたアカウントと指定されたパスワードが一致しない場合、シークレットが初めてローテーションされた後、有効なアカウントとパスワードを取得できます。
      • 単一アカウントの管理: このモードは、特権アカウントまたは手動O&Mアカウントが管理されるシナリオに適用されます。 このモードでは、秘密が回転されるとき、秘密の現在のバージョンは一時的に利用不可能であり得る。
        • [ワンクリックの作成と承認] タブをクリックし、アカウント名のプレフィックスを指定してアカウントタイプを選択します。

          アカウントタイプとして、[共通アカウント] または [高権限アカウント] を選択できます。 [共通アカウント] を選択した場合、データベースを選択し、アカウントの権限を指定する必要があります。

        • [既存のアカウントのインポート] タブをクリックしてアカウントを選択し、アカウントのパスワードを指定します。
    • シークレットの説明: シークレットの説明を入力します。
  6. [設定の回転] ダイアログボックスで、[自動回転を有効にする] を選択し、[回転期間] パラメーターを設定し、[次へ] をクリックします。
    ApsaraDB RDSシークレットを自動的にローテーションしない場合は、[自動ローテーションをオフにする] を選択します。
  7. [レビューと確認] ダイアログボックスで、シークレットの設定を確認し、[OK] をクリックします。
  8. [正常に作成] メッセージで、[閉じる] をクリックします。

動的ApsaraDB RDSシークレットの削除

動的ApsaraDB RDSシークレットを削除する前に、動的ApsaraDB RDSシークレットが使用されていないことを確認してください。

動的ApsaraDB RDSシークレットの削除をスケジュールするか、すぐに動的ApsaraDB RDSシークレットを削除できます。

  1. 削除する動的なApsaraDB RDSシークレットを見つけて、[操作] 列の [詳細] > [削除シークレットの計画] を選択します。
  2. [シークレットの削除] ダイアログボックスで、シークレットを削除する方法を選択し、[OK] をクリックします。
    • [Plan Deletion Secret] を選択した場合、[Delete In (7-30日)] パラメーターを設定する必要があります。 次に、システムは指定された日数後にシークレットを削除します。

      システムがシークレットを削除する前に、シークレットを復元して削除をキャンセルできます。 詳細については、「動的ApsaraDB RDSシークレットを復元する」をご参照ください。

    • [シークレットをすぐに削除] を選択した場合、システムはシークレットをすぐに削除します。

動的ApsaraDB RDSシークレットを復元する

動的ApsaraDB RDSシークレットの削除をスケジュールする場合、システムがシークレットを削除する前に、シークレットを復元して削除をキャンセルできます。 動的ApsaraDB RDSシークレットが復元された後、通常どおり使用できます。

  1. 復元する動的ApsaraDB RDSシークレットを見つけ、[操作] 列の [詳細] > [シークレットの復元] を選択します。
  2. [シークレットの復元] メッセージで、[OK] をクリックします。