您可以创建动态RDS凭据,对凭据进行全自动的定期轮换,从而降低数据泄露的安全风险。本文为您介绍如何通过KMS控制台创建动态RDS凭据。

前提条件

  • 请确保您已经创建阿里云RDS实例。具体操作,请参见创建RDS MySQL实例
  • 当RAM用户(或RAM角色)管理凭据时,您需要将系统策略AliyunKMSSecretAdminAccess授予该RAM用户(或RAM角色),使其拥有以下权限:
    • 使用凭据管家相关功能的权限。
    • 查询RDS实例、管理账号等相关功能的权限。
    • 创建托管RDS凭据使用的服务关联角色的权限。

操作步骤

  1. 登录密钥管理服务控制台
  2. 在页面左上角的地域下拉列表,选择凭据所在的地域。
  3. 在左侧导航栏,单击凭据
  4. 单击创建凭据
  5. 配置凭据页面,配置以下参数,然后单击下一步
    1. 选择凭据类型区域,选择托管RDS凭据
    2. 输入凭据名称
    3. 选择RDS实例。
    4. 配置凭据值。
      • 双账号托管(推荐):适用于程序化访问数据库场景。托管两个相同权限的账号,保证口令重置切换的瞬间,程序访问不被中断。
        • 单击一键创建和授权页签,配置账号名、选择数据库并指定权限。
          说明 一键创建和授权不会立即为您配置新的账号,而是在您审核确认凭据信息之后进行配置。
        • 单击导入已有账号页签,选择用户名、配置口令。
          说明 建议您将口令配置为创建RDS实例用户账号时对应的密码。如果导入的账号和口令不匹配,您可以在凭据首次轮转之后,获取正确的账号和口令。
      • 单账号托管:适用于高权限账号或者人工运维账号托管场景。口令重置切换的瞬间,凭据的当前版本可能暂时无法使用。
        • 单击一键创建和授权页签,配置账号名、选择账号类型。

          您可以选择普通账号高权限账号两种账号类型。当您选择普通账号时,还需选择数据库并指定权限。

        • 单击导入已有账号页签,选择用户名、配置口令。
    5. 配置描述信息
  6. 配置轮转页面,选中开启自动轮转,配置轮转周期,然后单击下一步
  7. 审核确认页面,审核凭据配置和轮转配置信息,单击确认
  8. 在弹出的创建成功对话框中,单击关闭
    您也可以单击凭据详情查看凭据信息。

相关链接