您可以創建動態RDS憑據,對RDS憑據進行全自動的定期輪換,從而降低RDS憑據泄露的安全風險。本文為您介紹如何通過KMS控制臺創建、刪除或還原動態RDS憑據。

前提條件

  • 請確保您已經創建阿里云RDS實例。具體操作,請參見創建RDS MySQL實例
  • 當RAM用戶或RAM角色管理憑據時,您需要將系統策略AliyunKMSSecretAdminAccess授予該RAM用戶或RAM角色,使其擁有以下權限:
    • 使用憑據管家相關功能的權限。
    • 查詢RDS實例、管理賬號等相關功能的權限。
    • 創建托管RDS憑據使用的服務關聯角色的權限。

創建動態RDS憑據

  1. 登錄密鑰管理服務控制臺
  2. 在頁面左上角的地域下拉列表,選擇憑據所在的地域。
  3. 在左側導航欄,單擊憑據
  4. 單擊創建憑據
  5. 創建憑據對話框,配置以下參數,然后單擊下一步
    • 選擇憑據類型:選擇托管RDS憑據
    • 憑據名稱:輸入憑據名稱。
    • 選擇RDS實例:選擇阿里云賬號下已有的RDS實例。
    • 設置憑據值:選擇托管方式,并設置憑據值。
      • 雙賬號托管(推薦):適用于程序化訪問數據庫場景。托管兩個相同權限的賬號,保證口令重置切換的瞬間,程序訪問不被中斷。
        • 單擊一鍵創建和授權頁簽,配置賬號名、選擇數據庫并指定權限。
          說明 一鍵創建和授權不會立即為您配置新的賬號,而是在您審核確認憑據信息之后進行配置。
        • 單擊導入已有賬號頁簽,選擇用戶名、配置口令。
          說明 建議您將口令配置為創建RDS實例用戶賬號時對應的密碼。如果導入的賬號和口令不匹配,您可以在憑據首次輪轉之后,獲取正確的賬號和口令。
      • 單賬號托管:適用于高權限賬號或者人工運維賬號托管場景。口令重置切換的瞬間,憑據的當前版本可能暫時無法使用。
        • 單擊一鍵創建和授權頁簽,配置賬號名、選擇賬號類型。

          您可以選擇普通賬號高權限賬號兩種賬號類型。當您選擇普通賬號時,還需選擇數據庫并指定權限。

        • 單擊導入已有賬號頁簽,選擇用戶名、配置口令。
    • 描述信息:輸入憑據的描述信息。
  6. 創建憑據對話框,選中開啟自動輪轉,配置輪轉周期,然后單擊下一步
    說明 如果無需自動輪轉RDS憑據,請選擇關閉自動輪轉
  7. 創建憑據對話框,審核憑據配置信息,然后單擊確定
  8. 創建成功對話框,單擊關閉

刪除動態RDS憑據

刪除RDS憑據前,請確認該RDS憑據已不被使用。

您可以選擇計劃刪除憑據和立即刪除憑據兩種方式,刪除不需要的動態RDS憑據。

  1. 在目標RDS憑據右側的操作列,選擇更多 > 計劃刪除憑據
  2. 刪除憑據對話框,選擇憑據刪除方式,然后單擊確定
    • 選擇計劃刪除憑據,然后設置預刪除周期(7~30天)。系統將在預刪除周期后刪除憑據。

      在預刪除周期內,您可以還原憑據,取消刪除操作。具體操作,請參見還原動態RDS憑據

    • 選擇立即刪除憑據,系統將立即刪除憑據。

還原動態RDS憑據

當您選擇了計劃刪除憑據的方式刪除動態RDS憑據時,在預刪除周期內,可以還原動態RDS憑據,取消刪除操作。還原動態RDS憑據后,即可正常使用動態RDS憑據。

  1. 在目標RDS憑據右側的操作列,選擇更多 > 還原憑據
  2. 還原憑據對話框,單擊確定