全部產品
Search

搜尋本產品

    Key Management Service:Data Management整合RDS憑據

    文件中心

    Key Management Service:Data Management整合RDS憑據

    更新時間:Jan 22, 2025

    Data Management (DMS)支援整合RDS憑據,當DMS需要對RDS資料庫遠端存取時,DMS會即時從KMS擷取憑據值用於登入。本文介紹如何配置DMS使用RDS憑據方式登入RDS資料庫。

    功能介紹

    當您使用Data Management (DMS)服務對ApsaraDB RDS進行資料資產管理、資料庫開發等操作前,您需要先將RDS資料庫錄入DMS,錄入時需要在DMS配置RDS登入憑證,用於DMS遠端連線RDS資料庫。

    除了手動在DMS輸入RDS帳號口令外,DMS還支援整合KMS的憑據功能,即將RDS帳號口令在KMS中儲存為RDS憑據,DMS中配置使用RDS憑據來登入RDS資料庫。當DMS遠端連線RDS資料庫時,會即時從KMS擷取憑據值用於登入。具體流程如下:

    image

    1. 憑據管理員在KMS中建立RDS憑據。

    2. DMS管理員在DMS中錄入RDS資料庫時,設定訪問方式為使用KMS中的RDS憑據。

    3. DMS管理員發起遠端連線RDS資料庫的請求。

    4. DMS調用KMS的ListSecretsGetSecretValue介面,即時從KMS擷取對應的RDS憑據值。

    5. DMS使用RDS憑據值登入RDS資料庫。

    DMS整合RDS憑據的優勢

    DMS整合RDS憑據,可以提升資料庫的安全性,確保資料庫憑證的安全存取。

    • RDS憑據加密儲存在KMS中,減少人工接觸明文資料庫帳號口令,提高了安全性。

    • 您可以在KMS配置RDS憑據定期自動輪轉以更新資料庫口令,降低因長期未更換而帶來的安全風險。

      說明

      由於DMS會即時從KMS擷取憑據版本為ACSCurrent的憑據值,設定輪轉不會對DMS遠端連線RDS資料庫有影響。關於輪轉的詳細介紹,請參見RDS憑據憑據版本

    • KMS支援Action Trail,可以記錄所有對RDS憑據的訪問請求,方便後續審計和回溯,以及及時發現異常行為。

    注意事項

    • 使用該功能您需要購買KMS執行個體。關於KMS的計費及選型指導,請參見產品計費產品選型

    • 支援的RDS資料庫為:RDS MySQL、RDS MariaDB、RDS SQL Server(2017叢集版除外)和RDS PostgreSQL。

    • 如果您已在KMS託管了RDS憑據,由於RDS憑據支援輪轉,輪轉時會更新口令,因此建議您在DMS中配置使用RDS憑據來登入RDS資料庫,不要手動輸入RDS帳號口令,以避免口令變更導致無法登入RDS資料庫。

    • 在KMS刪除RDS憑據前,請確保DMS已不再訪問該RDS憑據。如何查詢訪問記錄,請參見查詢密鑰和憑據的使用記錄

    前提條件

    • 已購買和啟用KMS執行個體。具體操作,請參見購買和啟用KMS執行個體

    • 由於建立RDS憑據時需要指定用於加密RDS憑據的對稱金鑰,請先在KMS執行個體中建立對稱金鑰。具體操作,請參見建立密鑰

    步驟一:在KMS建立RDS憑據

    1. 登入Key Management Service控制台,在頂部功能表列選擇地區後,在左側導覽列單擊资源 > 凭据管理

    2. 凭据管理頁面單擊数据库凭据,選擇实例ID後,單擊创建凭据 > 创建单个凭据,完成各項配置後單擊確定

      配置項

      說明

      数据库类型

      選擇RDS凭据

      凭据名称

      自訂的憑據名稱。

      RDS实例

      選擇阿里雲帳號下已有的RDS執行個體。

      账号托管

      長度不超過30720位元組(30KB)。

      • 双账号托管(推薦):適用於程式化訪問資料庫情境。託管兩個相同許可權的帳號,保證口令重設切換的瞬間,程式訪問資料庫不被中斷。

        • 單擊新建账号,配置帳號名、選擇資料庫並指定許可權。

          說明

          一鍵建立和授權不會立即為您配置新的帳號,而是在您審核確認憑據資訊之後進行配置。

        • 單擊导入已有账号,選擇使用者名稱、配置口令。

          說明

          建議您將口令配置為建立RDS執行個體使用者帳號時對應的密碼。如果匯入的帳號和口令不匹配,您可以在憑據首次輪轉之後,擷取正確的帳號和口令。

      • 单账号托管:適用於高許可權帳號或者人工營運帳號託管情境。口令重設切換的瞬間,憑據的目前的版本可能暫時無法使用。

        • 單擊新建账号,配置帳號名、選擇帳號類型。

          您可以選擇普通账号高权限账号兩種帳號類型。當您選擇普通账号時,還需選擇資料庫並指定許可權。

        • 單擊导入已有账号頁簽,選擇使用者名稱、配置口令。

      加密主密钥

      選擇用於加密憑據值的密鑰。

      重要

      • 密鑰和憑據需要屬於同一個KMS執行個體,且密鑰必須為對稱金鑰。關於KMS支援哪些對稱金鑰,請參見密鑰管理類型和密鑰規格

      • 如果是RAM使用者、RAM角色,需要具備使用加密主要金鑰執行GenerateDataKey操作的許可權。

      標籤

      憑據的標籤,方便您對憑據進行分類管理。每個標籤由一個索引值對(Key:Value)組成,包含標籤鍵(Key)、標籤值(Value)。

      說明

      • 標籤鍵和標籤值的格式:最多支援128個字元,可以包含英文大小寫字母、數字、正斜線(/)、反斜線(\)、底線(_)、短劃線(-)、半形句號(.)、加號(+)、等號(=)、半形冒號(:)、字元at(@)。

      • 標籤鍵不能以aliyun或acs:開頭。

      • 每個憑據最多可以設定20個標籤索引值對。

      自动轮转

      選擇開啟或關閉憑據的周期性自動輪轉。

      轮转周期

      僅當开启自动轮转時需要設定。支援設定為6小時~365天。

      表示輪轉的周期,設定後KMS將定期為您更新憑據值。

      描述信息

      憑據的描述資訊。

      策略配置

      憑據的策略配置。詳細介紹,請參見憑據策略概述

      您可以先選擇預設策略,建立憑據後根據業務需要再修改策略。

    步驟二:將RDS資料庫錄入DMS

    1. 登入Data Management 5.0

    2. 在控制台首頁左側的資料庫執行個體地區,單擊新增執行個體add表徵圖。

      說明

      您還可以在功能表列中選擇資料資產 > 執行個體管理,單擊新增,進行新增執行個體操作。

    3. 新增執行個體頁面,錄入RDS執行個體資訊。

      訪問方式選擇KMS憑證登入。其他參數如何配置,請參見雲資料庫錄入image

    相關文檔

    • 已經在DMS中通過帳號密碼方式錄入的RDS資料庫, 支援將訪問方式修改為KMS憑據登入。具體操作,請參見編輯執行個體資訊

    • 將資料庫錄入DMS後,您可能需要進行如下操作:

      • 建立資料庫、建立表、查詢表資料、變更表資料等操作。具體操作,請參見SQL Console初體驗

      • 需要在不鎖表的前提下變更大量表資料,您可使用DMS的無鎖資料變更。具體操作,請參見DML無鎖變更

      • 匯出表資料。具體操作,請參見匯出資料