您可以创建动态RDS凭据,对RDS凭据进行全自动的定期轮换,从而降低RDS凭据泄露的安全风险。本文为您介绍如何通过KMS控制台创建、删除或还原动态RDS凭据。

前提条件

  • 请确保您已经创建阿里云RDS实例。具体操作,请参见创建RDS MySQL实例
  • 当RAM用户或RAM角色管理凭据时,您需要将系统策略AliyunKMSSecretAdminAccess授予该RAM用户或RAM角色,使其拥有以下权限:
    • 使用凭据管家相关功能的权限。
    • 查询RDS实例、管理账号等相关功能的权限。
    • 创建托管RDS凭据使用的服务关联角色的权限。

创建动态RDS凭据

  1. 登录密钥管理服务控制台
  2. 在页面左上角的地域下拉列表,选择凭据所在的地域。
  3. 在左侧导航栏,单击凭据
  4. 单击创建凭据
  5. 创建凭据对话框,配置以下参数,然后单击下一步
    • 选择凭据类型:选择托管RDS凭据
    • 凭据名称:输入凭据名称。
    • 选择RDS实例:选择阿里云账号下已有的RDS实例。
    • 设置凭据值:选择托管方式,并设置凭据值。
      • 双账号托管(推荐):适用于程序化访问数据库场景。托管两个相同权限的账号,保证口令重置切换的瞬间,程序访问不被中断。
        • 单击一键创建和授权页签,配置账号名、选择数据库并指定权限。
          说明 一键创建和授权不会立即为您配置新的账号,而是在您审核确认凭据信息之后进行配置。
        • 单击导入已有账号页签,选择用户名、配置口令。
          说明 建议您将口令配置为创建RDS实例用户账号时对应的密码。如果导入的账号和口令不匹配,您可以在凭据首次轮转之后,获取正确的账号和口令。
      • 单账号托管:适用于高权限账号或者人工运维账号托管场景。口令重置切换的瞬间,凭据的当前版本可能暂时无法使用。
        • 单击一键创建和授权页签,配置账号名、选择账号类型。

          您可以选择普通账号高权限账号两种账号类型。当您选择普通账号时,还需选择数据库并指定权限。

        • 单击导入已有账号页签,选择用户名、配置口令。
    • 描述信息:输入凭据的描述信息。
  6. 创建凭据对话框,选中开启自动轮转,配置轮转周期,然后单击下一步
    说明 如果无需自动轮转RDS凭据,请选择关闭自动轮转
  7. 创建凭据对话框,审核凭据配置信息,单击确认

删除动态RDS凭据

删除RDS凭据前,请确认该RDS凭据已不被使用。

您可以选择计划删除凭据和立即删除凭据两种方式,删除不需要的动态RDS凭据。

  1. 在目标RDS凭据右侧的操作列,选择更多 > 计划删除凭据
  2. 删除凭据对话框,选择凭据删除方式,然后单击确定
    • 选择计划删除凭据,然后设置预删除周期(7~30天)。系统将在预删除周期后删除凭据。

      在预删除周期内,您可以还原凭据,取消删除操作。具体操作,请参见还原动态RDS凭据

    • 选择立即删除凭据,系统将立即删除凭据。

还原动态RDS凭据

当您选择了计划删除凭据的方式删除动态RDS凭据时,在预删除周期内,可以还原动态RDS凭据,取消删除操作。还原动态RDS凭据后,即可正常使用动态RDS凭据。

  1. 在目标RDS凭据右侧的操作列,选择更多 > 还原凭据
  2. 还原凭据对话框,单击确定