全部产品
Search
文档中心

密钥管理服务:数据管理DMS集成RDS凭据

更新时间:Jun 17, 2024

数据管理 DMS(Data Management)支持集成RDS凭据,当DMS需要对RDS数据库远程访问时,DMS会实时从KMS获取凭据值用于登录。本文介绍如何配置DMS使用RDS凭据方式登录RDS数据库。

功能介绍

当您使用数据管理 DMS(Data Management)服务对云数据库 RDS(ApsaraDB RDS)进行数据资产管理、数据库开发等操作前,您需要先将RDS数据库录入DMS,录入时需要在DMS配置RDS登录凭证,用于DMS远程连接RDS数据库。

除了手动在DMS输入RDS账号口令外,DMS还支持集成KMS的凭据功能,即将RDS账号口令在KMS中保存为RDS凭据,DMS中配置使用RDS凭据来登录RDS数据库。当DMS远程连接RDS数据库时,会实时从KMS获取凭据值用于登录。具体流程如下:

image
  1. 凭据管理员在KMS中创建RDS凭据。

  2. DMS管理员在DMS中录入RDS数据库时,设置访问方式为使用KMS中的RDS凭据。

  3. DMS管理员发起远程连接RDS数据库的请求。

  4. DMS调用KMS的ListSecretsGetSecretValue接口,实时从KMS获取对应的RDS凭据值。

  5. DMS使用RDS凭据值登录RDS数据库。

DMS集成RDS凭据的优势

DMS集成RDS凭据,可以提升数据库的安全性,确保数据库凭证的安全存取。

  • RDS凭据加密存储在KMS中,减少人工接触明文数据库账号口令,提高了安全性。

  • 您可以在KMS配置RDS凭据定期自动轮转以更新数据库口令,降低因长期未更换而带来的安全风险。

    说明

    由于DMS会实时从KMS获取凭据版本为ACSCurrent的凭据值,设置轮转不会对DMS远程连接RDS数据库有影响。关于轮转的详细介绍,请参见RDS凭据凭据版本

  • KMS支持操作审计,可以记录所有对RDS凭据的访问请求,方便后续审计和回溯,以及及时发现异常行为。

注意事项

  • 使用该功能您需要购买KMS实例。关于KMS的计费及选型指导,请参见产品计费产品选型

  • 支持的RDS数据库为:RDS MySQL、RDS MariaDB、RDS SQL Server(2017集群版除外)和RDS PostgreSQL。

  • 如果您已在KMS托管了RDS凭据,由于RDS凭据支持轮转,轮转时会更新口令,因此建议您在DMS中配置使用RDS凭据来登录RDS数据库,不要手动输入RDS账号口令,以避免口令变更导致无法登录RDS数据库。

  • 在KMS删除RDS凭据前,请确保DMS已不再访问该RDS凭据。如何查询访问记录,请参见查询密钥和凭据的使用记录

前提条件

  • 已购买和启用KMS实例。具体操作,请参见购买和启用KMS实例

  • 由于创建RDS凭据时需要指定用于加密RDS凭据的对称密钥,请先在KMS实例中创建对称密钥。具体操作,请参见创建密钥

步骤一:在KMS创建RDS凭据

  1. 登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击资源 > 凭据管理

  2. 凭据管理页面单击数据库凭据,选择实例ID后,单击创建凭据 > 创建单个凭据,完成各项配置后单击确定

    配置项

    说明

    数据库类型

    选择RDS凭据

    凭据名称

    自定义的凭据名称。

    RDS实例

    选择阿里云账号下已有的RDS实例。

    账号托管

    长度不超过30720字节(30KB)。

    • 双账号托管(推荐):适用于程序化访问数据库场景。托管两个相同权限的账号,保证口令重置切换的瞬间,程序访问数据库不被中断。

      • 单击新建账号,配置账号名、选择数据库并指定权限。

        说明

        一键创建和授权不会立即为您配置新的账号,而是在您审核确认凭据信息之后进行配置。

      • 单击导入已有账号,选择用户名、配置口令。

        说明

        建议您将口令配置为创建RDS实例用户账号时对应的密码。如果导入的账号和口令不匹配,您可以在凭据首次轮转之后,获取正确的账号和口令。

    • 单账号托管:适用于高权限账号或者人工运维账号托管场景。口令重置切换的瞬间,凭据的当前版本可能暂时无法使用。

      • 单击新建账号,配置账号名、选择账号类型。

        您可以选择普通账号高权限账号两种账号类型。当您选择普通账号时,还需选择数据库并指定权限。

      • 单击导入已有账号页签,选择用户名、配置口令。

    加密主密钥

    选择用于加密凭据值的密钥。

    重要
    • 密钥和凭据需要属于同一个KMS实例,且密钥必须为对称密钥。关于KMS支持哪些对称密钥,请参见密钥管理类型和密钥规格

    • 如果是RAM用户、RAM角色,需要具备使用加密主密钥执行GenerateDataKey操作的权限。

    标签

    凭据的标签,方便您对凭据进行分类管理。每个标签由一个键值对(Key:Value)组成,包含标签键(Key)、标签值(Value)。

    说明
    • 标签键和标签值的格式:最多支持128个字符,可以包含英文大小写字母、数字、正斜线(/)、反斜线(\)、下划线(_)、短划线(-)、半角句号(.)、加号(+)、等于号(=)、半角冒号(:)、字符at(@)。

    • 标签键不能以aliyun或acs:开头。

    • 每个凭据最多可以设置20个标签键值对。

    自动轮转

    选择开启或关闭凭据的周期性自动轮转。

    轮转周期

    仅当开启自动轮转时需要设置。支持设置为6小时~365天。

    表示轮转的周期,设置后KMS将定期为您更新凭据值。

    描述信息

    凭据的描述信息。

    策略配置

    凭据的策略配置。详细介绍,请参见凭据策略概述

    您可以先选择默认策略,创建凭据后根据业务需要再修改策略。

步骤二:将RDS数据库录入DMS

  1. 登录数据管理DMS 5.0
  2. 在控制台首页左侧的数据库实例区域,单击新增实例add图标。

    说明

    您还可以在菜单栏中选择数据资产 > 实例管理,单击新增,进行新增实例操作。

  3. 新增实例页面,录入RDS实例信息。

    访问方式选择KMS凭证登录。其他参数如何配置,请参见云数据库录入image

相关文档

  • 已经在DMS中通过账号密码方式录入的RDS数据库, 支持将访问方式修改为KMS凭据登录。具体操作,请参见编辑实例

  • 将数据库录入DMS后,您可能需要进行如下操作:

    • 创建数据库、创建表、查询表数据、变更表数据等操作。具体操作,请参见SQL Console初体验

    • 需要在不锁表的前提下变更大量表数据,您可使用DMS的无锁数据变更。具体操作,请参见DML无锁变更

    • 导出表数据。具体操作,请参见导出数据