全部產品
Search
文件中心

Key Management Service:Data Management整合RDS憑據

更新時間:Jan 22, 2025

Data Management (DMS)支援整合RDS憑據,當DMS需要對RDS資料庫遠端存取時,DMS會即時從KMS擷取憑據值用於登入。本文介紹如何配置DMS使用RDS憑據方式登入RDS資料庫。

功能介紹

當您使用Data Management (DMS)服務對ApsaraDB RDS進行資料資產管理、資料庫開發等操作前,您需要先將RDS資料庫錄入DMS,錄入時需要在DMS配置RDS登入憑證,用於DMS遠端連線RDS資料庫。

除了手動在DMS輸入RDS帳號口令外,DMS還支援整合KMS的憑據功能,即將RDS帳號口令在KMS中儲存為RDS憑據,DMS中配置使用RDS憑據來登入RDS資料庫。當DMS遠端連線RDS資料庫時,會即時從KMS擷取憑據值用於登入。具體流程如下:

image
  1. 憑據管理員在KMS中建立RDS憑據。

  2. DMS管理員在DMS中錄入RDS資料庫時,設定訪問方式為使用KMS中的RDS憑據。

  3. DMS管理員發起遠端連線RDS資料庫的請求。

  4. DMS調用KMS的ListSecretsGetSecretValue介面,即時從KMS擷取對應的RDS憑據值。

  5. DMS使用RDS憑據值登入RDS資料庫。

DMS整合RDS憑據的優勢

DMS整合RDS憑據,可以提升資料庫的安全性,確保資料庫憑證的安全存取。

  • RDS憑據加密儲存在KMS中,減少人工接觸明文資料庫帳號口令,提高了安全性。

  • 您可以在KMS配置RDS憑據定期自動輪轉以更新資料庫口令,降低因長期未更換而帶來的安全風險。

    說明

    由於DMS會即時從KMS擷取憑據版本為ACSCurrent的憑據值,設定輪轉不會對DMS遠端連線RDS資料庫有影響。關於輪轉的詳細介紹,請參見RDS憑據憑據版本

  • KMS支援Action Trail,可以記錄所有對RDS憑據的訪問請求,方便後續審計和回溯,以及及時發現異常行為。

注意事項

  • 使用該功能您需要購買KMS執行個體。關於KMS的計費及選型指導,請參見產品計費產品選型

  • 支援的RDS資料庫為:RDS MySQL、RDS MariaDB、RDS SQL Server(2017叢集版除外)和RDS PostgreSQL。

  • 如果您已在KMS託管了RDS憑據,由於RDS憑據支援輪轉,輪轉時會更新口令,因此建議您在DMS中配置使用RDS憑據來登入RDS資料庫,不要手動輸入RDS帳號口令,以避免口令變更導致無法登入RDS資料庫。

  • 在KMS刪除RDS憑據前,請確保DMS已不再訪問該RDS憑據。如何查詢訪問記錄,請參見查詢密鑰和憑據的使用記錄

前提條件

  • 已購買和啟用KMS執行個體。具體操作,請參見購買和啟用KMS執行個體

  • 由於建立RDS憑據時需要指定用於加密RDS憑據的對稱金鑰,請先在KMS執行個體中建立對稱金鑰。具體操作,請參見建立密鑰

步驟一:在KMS建立RDS憑據

  1. 登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊资源 > 凭据管理

  2. 凭据管理頁面單擊数据库凭据,選擇实例ID後,單擊创建凭据 > 创建单个凭据,完成各項配置後單擊確定

    配置項

    說明

    数据库类型

    選擇RDS凭据

    凭据名称

    自訂的憑據名稱。

    RDS实例

    選擇阿里雲帳號下已有的RDS執行個體。

    账号托管

    長度不超過30720位元組(30KB)。

    • 双账号托管(推薦):適用於程式化訪問資料庫情境。託管兩個相同許可權的帳號,保證口令重設切換的瞬間,程式訪問資料庫不被中斷。

      • 單擊新建账号,配置帳號名、選擇資料庫並指定許可權。

        說明

        一鍵建立和授權不會立即為您配置新的帳號,而是在您審核確認憑據資訊之後進行配置。

      • 單擊导入已有账号,選擇使用者名稱、配置口令。

        說明

        建議您將口令配置為建立RDS執行個體使用者帳號時對應的密碼。如果匯入的帳號和口令不匹配,您可以在憑據首次輪轉之後,擷取正確的帳號和口令。

    • 单账号托管:適用於高許可權帳號或者人工營運帳號託管情境。口令重設切換的瞬間,憑據的目前的版本可能暫時無法使用。

      • 單擊新建账号,配置帳號名、選擇帳號類型。

        您可以選擇普通账号高权限账号兩種帳號類型。當您選擇普通账号時,還需選擇資料庫並指定許可權。

      • 單擊导入已有账号頁簽,選擇使用者名稱、配置口令。

    加密主密钥

    選擇用於加密憑據值的密鑰。

    重要
    • 密鑰和憑據需要屬於同一個KMS執行個體,且密鑰必須為對稱金鑰。關於KMS支援哪些對稱金鑰,請參見密鑰管理類型和密鑰規格

    • 如果是RAM使用者、RAM角色,需要具備使用加密主要金鑰執行GenerateDataKey操作的許可權。

    標籤

    憑據的標籤,方便您對憑據進行分類管理。每個標籤由一個索引值對(Key:Value)組成,包含標籤鍵(Key)、標籤值(Value)。

    說明
    • 標籤鍵和標籤值的格式:最多支援128個字元,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、底線(_)、短劃線(-)、半形句號(.)、加號(+)、等號(=)、半形冒號(:)、字元at(@)。

    • 標籤鍵不能以aliyun或acs:開頭。

    • 每個憑據最多可以設定20個標籤索引值對。

    自动轮转

    選擇開啟或關閉憑據的周期性自動輪轉。

    轮转周期

    僅當开启自动轮转時需要設定。支援設定為6小時~365天。

    表示輪轉的周期,設定後KMS將定期為您更新憑據值。

    描述信息

    憑據的描述資訊。

    策略配置

    憑據的策略配置。詳細介紹,請參見憑據策略概述

    您可以先選擇預設策略,建立憑據後根據業務需要再修改策略。

步驟二:將RDS資料庫錄入DMS

  1. 登入Data Management 5.0

  2. 在控制台首頁左側的資料庫執行個體地區,單擊新增執行個體add表徵圖。

    說明

    您還可以在功能表列中選擇資料資產 > 執行個體管理,單擊新增,進行新增執行個體操作。

  3. 新增執行個體頁面,錄入RDS執行個體資訊。

    訪問方式選擇KMS憑證登入。其他參數如何配置,請參見雲資料庫錄入image

相關文檔

  • 已經在DMS中通過帳號密碼方式錄入的RDS資料庫, 支援將訪問方式修改為KMS憑據登入。具體操作,請參見編輯執行個體資訊

  • 將資料庫錄入DMS後,您可能需要進行如下操作:

    • 建立資料庫、建立表、查詢表資料、變更表資料等操作。具體操作,請參見SQL Console初體驗

    • 需要在不鎖表的前提下變更大量表資料,您可使用DMS的無鎖資料變更。具體操作,請參見DML無鎖變更

    • 匯出表資料。具體操作,請參見匯出資料