功能介紹

當(dāng)您使用數(shù)據(jù)管理 DMS（Data Management）服務(wù)對云數(shù)據(jù)庫 RDS（ApsaraDB RDS）進行數(shù)據(jù)資產(chǎn)管理、數(shù)據(jù)庫開發(fā)等操作前，您需要先將RDS數(shù)據(jù)庫錄入DMS，錄入時需要在DMS配置RDS登錄憑證，用于DMS遠程連接RDS數(shù)據(jù)庫。

除了手動在DMS輸入RDS賬號口令外，DMS還支持集成KMS的憑據(jù)功能，即將RDS賬號口令在KMS中保存為RDS憑據(jù)，DMS中配置使用RDS憑據(jù)來登錄RDS數(shù)據(jù)庫。當(dāng)DMS遠程連接RDS數(shù)據(jù)庫時，會實時從KMS獲取憑據(jù)值用于登錄。具體流程如下：

1. 憑據(jù)管理員在KMS中創(chuàng)建RDS憑據(jù)。

2. DMS管理員在DMS中錄入RDS數(shù)據(jù)庫時，設(shè)置訪問方式為使用KMS中的RDS憑據(jù)。

3. DMS管理員發(fā)起遠程連接RDS數(shù)據(jù)庫的請求。

4. DMS調(diào)用KMS的ListSecrets、GetSecretValue接口，實時從KMS獲取對應(yīng)的RDS憑據(jù)值。

5. DMS使用RDS憑據(jù)值登錄RDS數(shù)據(jù)庫。

DMS集成RDS憑據(jù)的優(yōu)勢

DMS集成RDS憑據(jù)，可以提升數(shù)據(jù)庫的安全性，確保數(shù)據(jù)庫憑證的安全存取。

• RDS憑據(jù)加密存儲在KMS中，減少人工接觸明文數(shù)據(jù)庫賬號口令，提高了安全性。

• 您可以在KMS配置RDS憑據(jù)定期自動輪轉(zhuǎn)以更新數(shù)據(jù)庫口令，降低因長期未更換而帶來的安全風(fēng)險。

  說明

  由于DMS會實時從KMS獲取憑據(jù)版本為ACSCurrent的憑據(jù)值，設(shè)置輪轉(zhuǎn)不會對DMS遠程連接RDS數(shù)據(jù)庫有影響。關(guān)于輪轉(zhuǎn)的詳細介紹，請參見RDS憑據(jù)、憑據(jù)版本。

• KMS支持操作審計，可以記錄所有對RDS憑據(jù)的訪問請求，方便后續(xù)審計和回溯，以及及時發(fā)現(xiàn)異常行為。

注意事項

• 使用該功能您需要購買KMS實例。關(guān)于KMS的計費及選型指導(dǎo)，請參見產(chǎn)品計費、產(chǎn)品選型。

• 支持的RDS數(shù)據(jù)庫為：RDS MySQL、RDS MariaDB、RDS SQL Server（2017集群版除外）和RDS PostgreSQL。

• 如果您已在KMS托管了RDS憑據(jù)，由于RDS憑據(jù)支持輪轉(zhuǎn)，輪轉(zhuǎn)時會更新口令，因此建議您在DMS中配置使用RDS憑據(jù)來登錄RDS數(shù)據(jù)庫，不要手動輸入RDS賬號口令，以避免口令變更導(dǎo)致無法登錄RDS數(shù)據(jù)庫。

• 在KMS刪除RDS憑據(jù)前，請確保DMS已不再訪問該RDS憑據(jù)。如何查詢訪問記錄，請參見查詢密鑰和憑據(jù)的使用記錄。

前提條件

• 已購買和啟用KMS實例。具體操作，請參見購買和啟用KMS實例。

• 由于創(chuàng)建RDS憑據(jù)時需要指定用于加密RDS憑據(jù)的對稱密鑰，請先在KMS實例中創(chuàng)建對稱密鑰。具體操作，請參見創(chuàng)建密鑰。

步驟一：在KMS創(chuàng)建RDS憑據(jù)

1. 登錄密鑰管理服務(wù)控制臺，在頂部菜單欄選擇地域后，在左側(cè)導(dǎo)航欄單擊資源 > 憑據(jù)管理。

2. 在憑據(jù)管理頁面單擊數(shù)據(jù)庫憑據(jù)，選擇實例ID后，單擊創(chuàng)建憑據(jù) > 創(chuàng)建單個憑據(jù)，完成各項配置后單擊確定。

   配置項	說明
   數(shù)據(jù)庫類型	選擇RDS憑據(jù)。
   憑據(jù)名稱	自定義的憑據(jù)名稱。
   RDS實例	選擇阿里云賬號下已有的RDS實例。
   賬號托管	長度不超過30720字節(jié)（30KB）。 雙賬號托管（推薦）：適用于程序化訪問數(shù)據(jù)庫場景。托管兩個相同權(quán)限的賬號，保證口令重置切換的瞬間，程序訪問數(shù)據(jù)庫不被中斷。 單擊新建賬號，配置賬號名、選擇數(shù)據(jù)庫并指定權(quán)限。 說明 一鍵創(chuàng)建和授權(quán)不會立即為您配置新的賬號，而是在您審核確認憑據(jù)信息之后進行配置。 單擊導(dǎo)入已有賬號，選擇用戶名、配置口令。 說明 建議您將口令配置為創(chuàng)建RDS實例用戶賬號時對應(yīng)的密碼。如果導(dǎo)入的賬號和口令不匹配，您可以在憑據(jù)首次輪轉(zhuǎn)之后，獲取正確的賬號和口令。 單賬號托管：適用于高權(quán)限賬號或者人工運維賬號托管場景?？诹钪刂们袚Q的瞬間，憑據(jù)的當(dāng)前版本可能暫時無法使用。 單擊新建賬號，配置賬號名、選擇賬號類型。 您可以選擇普通賬號和高權(quán)限賬號兩種賬號類型。當(dāng)您選擇普通賬號時，還需選擇數(shù)據(jù)庫并指定權(quán)限。 單擊導(dǎo)入已有賬號頁簽，選擇用戶名、配置口令。
   加密主密鑰	選擇用于加密憑據(jù)值的密鑰。 重要 密鑰和憑據(jù)需要屬于同一個KMS實例，且密鑰必須為對稱密鑰。關(guān)于KMS支持哪些對稱密鑰，請參見密鑰管理類型和密鑰規(guī)格。 如果是RAM用戶、RAM角色，需要具備使用加密主密鑰執(zhí)行GenerateDataKey操作的權(quán)限。
   標簽	憑據(jù)的標簽，方便您對憑據(jù)進行分類管理。每個標簽由一個鍵值對（Key:Value）組成，包含標簽鍵（Key）、標簽值（Value）。 說明 標簽鍵和標簽值的格式：最多支持128個字符，可以包含英文大小寫字母、數(shù)字、正斜線（/）、反斜線（\）、下劃線（_）、短劃線（-）、半角句號（.）、加號（+）、等于號（=）、半角冒號（:）、字符at（@）。 標簽鍵不能以aliyun或acs:開頭。 每個憑據(jù)最多可以設(shè)置20個標簽鍵值對。
   自動輪轉(zhuǎn)	選擇開啟或關(guān)閉憑據(jù)的周期性自動輪轉(zhuǎn)。
   輪轉(zhuǎn)周期	僅當(dāng)開啟自動輪轉(zhuǎn)時需要設(shè)置。支持設(shè)置為6小時~365天。 表示輪轉(zhuǎn)的周期，設(shè)置后KMS將定期為您更新憑據(jù)值。
   描述信息	憑據(jù)的描述信息。
   策略配置	憑據(jù)的策略配置。詳細介紹，請參見憑據(jù)策略概述。 您可以先選擇默認策略，創(chuàng)建憑據(jù)后根據(jù)業(yè)務(wù)需要再修改策略。

步驟二：將RDS數(shù)據(jù)庫錄入DMS

1. 登錄數(shù)據(jù)管理DMS 5.0。

2. 在控制臺首頁左側(cè)的數(shù)據(jù)庫實例區(qū)域，單擊新增實例圖標。

   說明

   您也可以在控制臺首頁的搜索框中，輸入實例管理，在搜索結(jié)果中單擊實例管理進入對應(yīng)頁面，單擊新增，進行新增實例操作。

3. 在新增實例頁面，錄入RDS實例信息。

   訪問方式選擇KMS憑證登錄。其他參數(shù)如何配置，請參見云數(shù)據(jù)庫錄入。

相關(guān)文檔

• 已經(jīng)在DMS中通過賬號密碼方式錄入的RDS數(shù)據(jù)庫， 支持將訪問方式修改為KMS憑據(jù)登錄。具體操作，請參見編輯實例。

• 將數(shù)據(jù)庫錄入DMS后，您可能需要進行如下操作：

  • 創(chuàng)建數(shù)據(jù)庫、創(chuàng)建表、查詢表數(shù)據(jù)、變更表數(shù)據(jù)等操作。具體操作，請參見SQL Console初體驗。

  • 需要在不鎖表的前提下變更大量表數(shù)據(jù)，您可使用DMS的無鎖數(shù)據(jù)變更。具體操作，請參見DML無鎖變更。

  • 導(dǎo)出表數(shù)據(jù)。具體操作，請參見導(dǎo)出數(shù)據(jù)。