全部產品
Search
文件中心

Key Management Service:管理動態RDS憑據

更新時間:Jul 06, 2024

您可以建立動態RDS憑據,對RDS憑據進行全自動的定期輪換,從而降低RDS憑據泄露的安全風險。本文為您介紹如何通過KMS控制台建立、刪除或還原動態RDS憑據。

前提條件

  • 請確保您已經建立阿里雲RDS執行個體。具體操作,請參見快速建立RDS MySQL執行個體
  • 當RAM使用者或RAM角色管理認證時,您需要將系統策略AliyunKMSSecretAdminAccess授予該RAM使用者或RAM角色,使其擁有以下許可權:
    • 使用憑據管家相關功能的許可權。
    • 查詢RDS執行個體、管理帳號等相關功能的許可權。
    • 建立託管RDS憑據使用的服務關聯角色的許可權。

建立動態RDS憑據

  1. 登入Key Management Service控制台
  2. 在頁面左上方的地區下拉式清單,選擇憑據所在的地區。
  3. 在左側導覽列,單擊憑據
  4. 單擊建立憑據
  5. 建立憑據對話方塊,配置以下參數,然後單擊下一步
    • 選擇憑據類型:選擇託管RDS憑據
    • 憑據名稱:輸入憑據名稱。
    • 選擇RDS執行個體:選擇阿里雲帳號下已有的RDS執行個體。
    • 設定憑據值:選擇託管方式,並設定憑據值。
      • 雙帳號託管(推薦):適用於程式化訪問資料庫情境。託管兩個相同許可權的帳號,保證口令重設切換的瞬間,程式訪問不被中斷。
        • 單擊一鍵建立和授權頁簽,配置帳號名、選擇資料庫並指定許可權。
          說明 一鍵建立和授權不會立即為您配置新的帳號,而是在您審核確認憑據資訊之後進行配置。
        • 單擊匯入已有帳號頁簽,選擇使用者名稱、配置口令。
          說明 建議您將口令配置為建立RDS執行個體使用者帳號時對應的密碼。如果匯入的帳號和口令不匹配,您可以在憑據首次輪轉之後,擷取正確的帳號和口令。
      • 單帳號託管:適用於高許可權帳號或者人工營運帳號託管情境。口令重設切換的瞬間,憑據的目前的版本可能暫時無法使用。
        • 單擊一鍵建立和授權頁簽,配置帳號名、選擇帳號類型。

          您可以選擇普通帳號高許可權帳號兩種帳號類型。當您選擇普通帳號時,還需選擇資料庫並指定許可權。

        • 單擊匯入已有帳號頁簽,選擇使用者名稱、配置口令。
    • 描述資訊:輸入憑據的描述資訊。
  6. 建立憑據對話方塊,選中開啟自動輪轉,配置輪轉周期,然後單擊下一步
    說明 如果無需自動輪轉RDS憑據,請選擇關閉自動輪轉
  7. 建立憑據對話方塊,審核憑據配置資訊,然後單擊確定
  8. 建立成功對話方塊,單擊關閉

刪除動態RDS憑據

刪除RDS憑據前,請確認該RDS憑據已不被使用。

您可以選擇計劃刪除憑據和立即刪除憑據兩種方式,刪除不需要的動態RDS憑據。

  1. 在目標RDS憑據右側的操作列,選擇更多 > 計劃刪除憑據
  2. 刪除憑據對話方塊,選擇憑據刪除方式,然後單擊確定
    • 選擇計劃刪除憑據,然後設定預刪除周期(7~30天)。系統將在預刪除周期後刪除憑據。

      在預刪除周期內,您可以還原憑據,取消刪除操作。具體操作,請參見還原動態RDS憑據

    • 選擇立即刪除憑據,系統將立即刪除憑據。

還原動態RDS憑據

當您選擇了計劃刪除憑據的方式刪除動態RDS憑據時,在預刪除周期內,可以還原動態RDS憑據,取消刪除操作。還原動態RDS憑據後,即可正常使用動態RDS憑據。

  1. 在目標RDS憑據右側的操作列,選擇更多 > 還原憑據
  2. 還原憑據對話方塊,單擊確定