您可以建立動態RDS憑據,對RDS憑據進行全自動的定期輪換,從而降低RDS憑據泄露的安全風險。本文為您介紹如何通過KMS控制台建立、刪除或還原動態RDS憑據。
前提條件
- 請確保您已經建立阿里雲RDS執行個體。具體操作,請參見快速建立RDS MySQL執行個體。
- 當RAM使用者或RAM角色管理認證時,您需要將系統策略AliyunKMSSecretAdminAccess授予該RAM使用者或RAM角色,使其擁有以下許可權:
- 使用憑據管家相關功能的許可權。
- 查詢RDS執行個體、管理帳號等相關功能的許可權。
- 建立託管RDS憑據使用的服務關聯角色的許可權。
建立動態RDS憑據
- 登入Key Management Service控制台。
- 在頁面左上方的地區下拉式清單,選擇憑據所在的地區。
- 在左側導覽列,單擊憑據。
- 單擊建立憑據。
- 在建立憑據對話方塊,配置以下參數,然後單擊下一步。
- 選擇憑據類型:選擇託管RDS憑據。
- 憑據名稱:輸入憑據名稱。
- 選擇RDS執行個體:選擇阿里雲帳號下已有的RDS執行個體。
- 設定憑據值:選擇託管方式,並設定憑據值。
- 雙帳號託管(推薦):適用於程式化訪問資料庫情境。託管兩個相同許可權的帳號,保證口令重設切換的瞬間,程式訪問不被中斷。
- 單擊一鍵建立和授權頁簽,配置帳號名、選擇資料庫並指定許可權。說明 一鍵建立和授權不會立即為您配置新的帳號,而是在您審核確認憑據資訊之後進行配置。
- 單擊匯入已有帳號頁簽,選擇使用者名稱、配置口令。說明 建議您將口令配置為建立RDS執行個體使用者帳號時對應的密碼。如果匯入的帳號和口令不匹配,您可以在憑據首次輪轉之後,擷取正確的帳號和口令。
- 單擊一鍵建立和授權頁簽,配置帳號名、選擇資料庫並指定許可權。
- 單帳號託管:適用於高許可權帳號或者人工營運帳號託管情境。口令重設切換的瞬間,憑據的目前的版本可能暫時無法使用。
- 單擊一鍵建立和授權頁簽,配置帳號名、選擇帳號類型。
您可以選擇普通帳號和高許可權帳號兩種帳號類型。當您選擇普通帳號時,還需選擇資料庫並指定許可權。
- 單擊匯入已有帳號頁簽,選擇使用者名稱、配置口令。
- 單擊一鍵建立和授權頁簽,配置帳號名、選擇帳號類型。
- 雙帳號託管(推薦):適用於程式化訪問資料庫情境。託管兩個相同許可權的帳號,保證口令重設切換的瞬間,程式訪問不被中斷。
- 描述資訊:輸入憑據的描述資訊。
- 在建立憑據對話方塊,選中開啟自動輪轉,配置輪轉周期,然後單擊下一步。說明 如果無需自動輪轉RDS憑據,請選擇關閉自動輪轉。
- 在建立憑據對話方塊,審核憑據配置資訊,然後單擊確定。
- 在建立成功對話方塊,單擊關閉。
刪除動態RDS憑據
刪除RDS憑據前,請確認該RDS憑據已不被使用。
您可以選擇計劃刪除憑據和立即刪除憑據兩種方式,刪除不需要的動態RDS憑據。
- 在目標RDS憑據右側的操作列,選擇。
- 在刪除憑據對話方塊,選擇憑據刪除方式,然後單擊確定。
- 選擇計劃刪除憑據,然後設定預刪除周期(7~30天)。系統將在預刪除周期後刪除憑據。
在預刪除周期內,您可以還原憑據,取消刪除操作。具體操作,請參見還原動態RDS憑據。
- 選擇立即刪除憑據,系統將立即刪除憑據。
- 選擇計劃刪除憑據,然後設定預刪除周期(7~30天)。系統將在預刪除周期後刪除憑據。
還原動態RDS憑據
當您選擇了計劃刪除憑據的方式刪除動態RDS憑據時,在預刪除周期內,可以還原動態RDS憑據,取消刪除操作。還原動態RDS憑據後,即可正常使用動態RDS憑據。
- 在目標RDS憑據右側的操作列,選擇。
- 在還原憑據對話方塊,單擊確定。