使用亚马逊云科技 Secrets Manager 提高亚马逊 RDS 主数据库证书的安全性

亚马逊关系数据库服务 (Amazon RDS) 使在亚马逊云科技云中设置、操作和扩展关系数据库变得更加简单。亚马逊云科技 Secrets Manager 可帮助您管理、检索和轮换数据库证书、API 密钥和其他密钥。

Amazon RDS 现在提供与密钥管理器的集成，用于管理主数据库证书。您不再需要管理主数据库证书，例如在 Secrets Manager 中创建密钥或设置轮换，因为 Amazon RDS 会为您完成。

在这篇博客文章中，您将学习如何设置 Amazon RDS 数据库实例以及如何使用 Secrets Manager 集成来管理主数据库证书。您还将学习如何为应用程序证书设置交替用户轮换。

整合的好处

使用密钥管理器管理 Amazon RDS 主数据库证书具有以下好处：

Amazon RDS 会自动生成并帮助保护主数据库证书，因此您无需承担安全管理证书的繁重工作。
Amazon RDS 在密钥管理器中自动存储和管理数据库证书。
Amazon RDS 定期轮换数据库凭证，无需更改应用程序。
Secrets Manager 有助于保护数据库凭证免受人工访问和纯文本视图的侵害。
密钥管理器允许使用其 API 或控制台检索数据库凭据。
Secrets Manager 允许使用亚马逊云科技身份和访问管理 (IAM) 对密钥中数据库凭证的访问进行精细控制。
您可以使用不同的亚马逊云科技密钥管理服务 (亚马逊云科技 KM S) 密钥将数据库加密与凭证加密区分开。
您可以使用亚马逊云科技 CloudTrail 和亚马逊 CloudWatch 监控对数据库证书的访问。

草率排练

在这篇博客文章中，我们将向您展示如何使用控制台执行以下操作：

在密钥管理器中管理新 Amazon RDS 实例的主数据库证书。我们将使用 MySQL 引擎，但您也可以将此过程用于其他 Amazon RDS 数据库引擎。
使用托管主数据库密钥为新数据库用户设置交替用户轮换。

在密钥管理器中管理 Amazon RDS 主数据库证书

在本节中，您将创建一个集成 Secrets Manager 的数据库实例。

要在密钥管理器中管理 Amazon RDS 主数据库证书，请：

打开 Amazon RDS 控制台并选择 创建数据库 。
对于 选择数据库创建方法 ，选择 标准创建 。
在 引擎选项 中，对于 引擎类型 ，选择 MySQL 。
在设置中的 证书设置 下，选择在 亚马逊云科技 Secrets Manager 中管理主证书 。

图 1：选择密钥管理器集成
您可以选择加密托管主数据库凭据。在此示例中，我们将使用默认 KMS 密钥。

图 2：选择 KMS 密钥
（可选）选择其他设置以满足您的要求。有关更多信息，请参阅数据库实例的设置。
选择 “ 创建数据库 ” ，然后等待几分钟以创建数据库。
创建数据库后，从 Amazon RDS 控制台的实例控制面板导航到您的新 Amazon RDS 实例。
选择 “ 配置 ” 选项卡，在 “ 主证书 ARN ” 下，您将找到包含您的主数据库凭据的密钥。

使用主数据库凭据创建新的数据库用户

在本节中，您将学习如何创建和保护可在应用程序中用于连接数据库的证书。您将学习如何访问主数据库凭证以及如何使用主数据库凭据创建和设置子（应用程序）证书的轮换。

使用主数据库凭据创建新的数据库用户

按如下方式从 Secrets Manager 中检索主数据库凭据：
1. 选择 RDS 实例仪表板的 “ 配置 ” 选项卡，然后在 “ 主证书 ARN ” 下选择 “ 在密钥管理器中管理 ” ，在 Secrets Manager 中打开您的托管主数据库密钥。
  
  图 3：查看数据库配置
2. 您可以看到，Amazon RDS 已向密钥添加了一些系统标签，并且默认情况下轮换处于开启状态。
  
  图 4：查看密钥详细信息
3. 要查看密码，请在 “ 机密值 ” 部分，选择 “ 检索机密值 ” 。
注意：如果您的应用程序拥有 IAM 读取密钥的权限，则可以使用 A W S 命令行接口 ( 亚马逊云科技 CLI) 或亚马逊云科技开发工具包检索这些证书。
在 MySQL Workbench 中，使用您刚刚从密钥中检索到的证书，以主数据库的身份登录到您的 Amazon RDS 数据库。有关更多信息，请参阅连接到运行 MySQL 数据库引擎的数据库实例。
对于主数据库，通过运行以下 SQL 命令创建具有所需权限的新数据库用户。请务必使用自己的信息进行替换，并确保使用强密码。
创建用户 “child'@'%”，标识者为；

有关创建用户的更多信息，请参阅 MySQL 文档。

为新数据库用户设置交替用户轮换

在本节中，您将学习如何使用主数据库凭据为应用程序证书设置多用户轮换。

设置交替用户轮换

在密钥管理器控制台的密钥下，选择 存储新密钥 。
对于 密钥类型 ，选择 Amazon RDS 数据库的证书 。
在凭据部分中，输入新数据库用户的用户名和密码。
在 数据库 部分中，选择您的 Amazon RDS 实例，然后选择 下一步 ，如图 5 所示。

图 5：选择 RDS 实例
在 配置密钥 页面上，为密钥命名和描述。无需其他配置。
在 “ 配置旋转-可选 ” 页面上，打开 “ 自动旋转 ” 。

图 6：选择自动旋转
在 轮换时间表 部分中，根据需要配置轮换时间表。
在 旋转函数 部分中，执行以下操作：
1. 为将要创建的 Lambda 函数输入描述性名称。
2. 对于 “ 使用单独的证书轮换此密钥 ” ，选择 “ 是 ” 。
3. 对于密钥，选择由 Amazon RDS 创建的主数据库密钥。
  
  注意：要找到您的主数据库密钥的名称，请在 Amazon RDS 控制台的 Amazon RDS 实例详细信息页面上，选择配置选项卡，然后查看 主证书 ARN 。
图 7：为轮换选择单独的证书
选择 “ 下一步 ” ，然后在 “ 评论 ” 页面上选择 “ 存储 ” 。

在新的数据库用户密钥准备好轮换之前，Secrets Manager 工作流程需要几分钟时间来设置轮换 Lambda 函数。

检查旋转是否已启用

在密钥管理器控制台中，导航到新的数据库用户密钥。

图 8：查看子密钥
在 “ 旋转配置” 部分 中，验证 旋转状态 是否为 “ 启用” 。

图 9：验证旋转状态

有关此过程的更多详细信息和疑难解答，请参阅为亚马逊云科技 Secrets Manager 设置交替用户轮换。

清理资源

通过删除 Amazon RDS 实例，您将自动清理托管的主数据库凭证密钥。

删除亚马逊 RDS 实例

打开亚马逊 RDS 控制台。
在导航窗格中，选择 数据库 ，然后选择要修改的数据库集群。
选择 “ 操作 ” ，然后选择 “ 修改集群 ” 。
选择 “ 禁用删除保护 ” ，然后选择 “ 继续 ” 。
选择 “ 立即应用 ” 。
从 “ 操作 ” 下拉列表中，选择 “ 删除 ” 。
（可选）使用菜单创建 Amazon RDS 实例的最终快照或自动备份。

图 10：创建快照和备份
当你准备好后，输入 delete me 。

有关更多信息，请参阅删除数据库实例。

清理新数据库用户密钥上的交替用户轮换

在密钥管理器控制台中，打开新的数据库用户密钥。

图 11：选择子密钥
在 旋转配置 部分中，选择 Lambda 旋转功能。

图 12：查看旋转函数
在 Lambda 控制台的 应用程序 下，选择应用程序。

图 13：打开应用程序
在 “部署 ” 选项卡上，选择 CloudFormation 堆栈 。
选择 “ 删除 ”，然后按照 “ 删除 ” 菜单步骤操作。您可能需要导航到根堆栈，然后再次选择 “ 删除 ”。您可能还需要禁用堆栈的终止保护。控制台将引导您完成此操作。

图 14：选择删除
现在您已经清理了新数据库用户密钥的轮换，您需要删除子密钥。导航到密钥管理器控制台，然后选择要删除的密钥。
在操作下拉列表中，选择 删除密钥 以删除密钥。

图 15：删除子密钥