RDS憑據

功能介紹

使用RDS憑據，應用程式將無需配置待用資料庫帳號口令。管理員在KMS建立RDS憑據，應用程式調用GetSecretValue介面擷取RDS資料庫帳號和口令資訊，用於訪問RDS資料庫。

RDS憑據輪轉

KMS為您轉輪RDS憑據時，會重設對應RDS帳號的密碼（口令），資料庫帳號名稱不變。正常情況下，RDS憑據輪轉即時完成。如果輪轉超過2分鐘沒有完成，請檢查RDS執行個體狀態及RDS帳號是否正常。

在KMS託管RDS憑據時，支援單帳號託管和雙帳號託管，其輪轉策略不同：

• 單帳號

  輪轉即為帳號產生一個新的口令，輪轉時在口令切換的瞬間，憑據的目前的版本可能暫時無法使用。因此建議您做好重試策略。

• 多帳號

  假設建立憑據時您有一個使用者的RDS帳號口令。第一次輪轉時，KMS會調用RDS的API建立第二個使用者的帳號口令。第二次輪轉時，會修改第一個使用者的口令，以後每次輪轉憑據時，KMS會交替修改這兩個使用者的口令。具體如下圖所示。

注意事項

• 支援的RDS資料庫為：RDS MySQL、RDS MariaDB、RDS SQL Server（2017叢集版除外）和RDS PostgreSQL。

• 請勿將RDS資料庫的帳號口令託管到多個RDS憑據中。因為RDS憑據輪轉會更新口令，如果其中一個RDS憑據輪轉，則使用其他RDS憑據中的憑據值會無法成功登入該RDS資料庫。

前提條件

• 已購買並啟用KMS執行個體。具體操作，請參見購買和啟用KMS執行個體。

• 已在KMS執行個體中建立用於加密憑據的對稱金鑰。具體操作，請參見建立密鑰。

• 已完成阿里雲RDS執行個體建立。具體操作，請參見第一步：快捷建立RDS MySQL執行個體與設定資料庫。

• 如果您使用RAM使用者（子帳號）或RAM角色管理RDS憑據，請確保阿里雲帳號（主帳號）已將系統策略AliyunKMSSecretAdminAccess授予RAM使用者或RAM角色。具體操作，請參見為RAM使用者授權或為RAM角色授權。

步驟一：建立RDS憑據

建立憑據時可以設定憑據全自動的定期輪轉，從而降低憑據泄露的安全風險。

1. 登入Key Management Service控制台，在頂部功能表列選擇地區後，在左側導覽列單擊资源 > 凭据管理。

2. 單擊数据库凭据頁簽，選擇实例ID後，單擊建立憑據 > 创建单个凭据，完成各項配置後單擊確定。

   說明

   • RDS憑據不支援大量建立。

   • 建立RDS憑據時，系統會自動建立服務關聯角色AliyunServiceRoleForKMSSecretsManagerForRDS，並為其授權權限原則AliyunServiceRolePolicyForKMSSecretsManagerForRDS。KMS使用該角色為您管理RDS憑據，完成RDS帳號口令的輪轉等任務。

     您可以登入RAM控制台查看服務關聯角色和權限原則的詳細資料，具體操作，請參見查看RAM角色和查看權限原則基本資料。

   配置項	說明

   配置項	說明
   数据库类型	選擇RDS凭据。
   凭据名称	自訂的憑據名稱。憑據名稱在當前地區內唯一。
   RDS实例	選擇阿里雲帳號下已有的RDS執行個體。
   账号托管	双账号托管（推薦）：適用於程式化訪問資料庫情境。託管兩個相同許可權的帳號，保證口令重設切換的瞬間，程式訪問資料庫不被中斷。 單擊新建账号，配置帳號名、選擇資料庫並指定許可權。 說明 一鍵建立和授權不會立即為您配置新的帳號，而是在您審核確認憑據資訊之後進行配置。 單擊导入已有账号，選擇使用者名稱、配置口令。 說明 建議您將口令配置為建立RDS執行個體使用者帳號時對應的密碼。如果匯入的帳號和口令不匹配，您可以在憑據首次輪轉之後，擷取正確的帳號和口令。 单账号托管：適用於高許可權帳號或者人工營運帳號託管情境。口令重設切換的瞬間，憑據的目前的版本可能暫時無法使用。 單擊新建账号，配置帳號名、選擇帳號類型。 您可以選擇普通账号和高权限账号兩種帳號類型。當您選擇普通账号時，還需選擇資料庫並指定許可權。 單擊导入已有账号頁簽，選擇使用者名稱、配置口令。
   加密主密钥	選擇用於加密憑據值的密鑰。 重要 密鑰和憑據需要屬於同一個KMS執行個體，且密鑰必須為對稱金鑰。關於KMS支援哪些對稱金鑰，請參見密鑰管理類型和密鑰規格。 如果是RAM使用者、RAM角色，需要具備使用加密主要金鑰執行GenerateDataKey操作的許可權。
   標籤	憑據的標籤，方便您對憑據進行分類管理。每個標籤由一個索引值對（Key:Value）組成，包含標籤鍵（Key）、標籤值（Value）。 說明 標籤鍵和標籤值的格式：最多支援128個字元，可以包含英文大小寫字母、數字、正斜線（/）、反斜線（\）、底線（_）、短劃線（-）、半形句號（.）、加號（+）、等號（=）、半形冒號（:）、字元at（@）、空格。 標籤鍵不能以aliyun或acs:開頭。 每個憑據最多可以設定20個標籤索引值對。
   自动轮转	選擇開啟或關閉憑據的周期性自動輪轉。
   轮转周期	僅當开启自动轮转時需要設定。支援設定為6小時~365天。 表示輪轉的周期，設定後KMS將定期為您更新憑據值。
   描述信息	憑據的描述資訊。
   策略配置	憑據的策略配置。詳細介紹，請參見憑據策略概述。 您可以先選擇預設策略，建立憑據後根據業務需要再修改策略。

步驟二：應用程式整合RDS憑據

KMS提供了阿里雲SDK、憑據用戶端、憑據JDBC用戶端、KMS Agent、KMS執行個體SDK調用OpenAPI-GetSecretValue或KMS執行個體API-GetSecretValue（不推薦）介面擷取RDS憑據值。建議您按照如下優先順序順序選擇：

更多操作

常見問題

• 設定輪轉策略或立即輪轉時，提示“您的憑據在輪轉中，請稍後再試”

• 憑據狀態為不可用或調用憑據相關API時返回“Rejected.Unavailable”

• 檢驗RDS憑據的帳號，檢測結果為不成功