数据管理 DMS(Data Management)支持集成RDS凭据,当DMS需要对RDS数据库远程访问时,DMS会实时从KMS获取凭据值用于登录。本文介绍如何配置DMS使用RDS凭据方式登录RDS数据库。
功能介绍
当您使用数据管理 DMS(Data Management)服务对云数据库 RDS(ApsaraDB RDS)进行数据资产管理、数据库开发等操作前,您需要先将RDS数据库录入DMS,录入时需要在DMS配置RDS登录凭证,用于DMS远程连接RDS数据库。
除了手动在DMS输入RDS账号口令外,DMS还支持集成KMS的凭据功能,即将RDS账号口令在KMS中保存为RDS凭据,DMS中配置使用RDS凭据来登录RDS数据库。当DMS远程连接RDS数据库时,会实时从KMS获取凭据值用于登录。具体流程如下:
凭据管理员在KMS中创建RDS凭据。
DMS管理员在DMS中录入RDS数据库时,设置访问方式为使用KMS中的RDS凭据。
DMS管理员发起远程连接RDS数据库的请求。
DMS调用KMS的ListSecrets、GetSecretValue接口,实时从KMS获取对应的RDS凭据值。
DMS使用RDS凭据值登录RDS数据库。
DMS集成RDS凭据的优势
DMS集成RDS凭据,可以提升数据库的安全性,确保数据库凭证的安全存取。
RDS凭据加密存储在KMS中,减少人工接触明文数据库账号口令,提高了安全性。
您可以在KMS配置RDS凭据定期自动轮转以更新数据库口令,降低因长期未更换而带来的安全风险。
KMS支持操作审计,可以记录所有对RDS凭据的访问请求,方便后续审计和回溯,以及及时发现异常行为。
注意事项
支持的RDS数据库为:RDS MySQL、RDS MariaDB、RDS SQL Server(2017集群版除外)和RDS PostgreSQL。
如果您已在KMS托管了RDS凭据,由于RDS凭据支持轮转,轮转时会更新口令,因此建议您在DMS中配置使用RDS凭据来登录RDS数据库,不要手动输入RDS账号口令,以避免口令变更导致无法登录RDS数据库。
在KMS删除RDS凭据前,请确保DMS已不再访问该RDS凭据。如何查询访问记录,请参见查询密钥和凭据的使用记录。
前提条件
已购买和启用KMS实例。具体操作,请参见购买和启用KMS实例。
由于创建RDS凭据时需要指定用于加密RDS凭据的对称密钥,请先在KMS实例中创建对称密钥。具体操作,请参见创建密钥。
步骤一:在KMS创建RDS凭据
登录密钥管理服务控制台,在顶部菜单栏选择地域后,在左侧导航栏单击 。
在凭据管理页面单击数据库凭据,选择实例ID后,单击
,完成各项配置后单击确定。配置项
说明
数据库类型
选择RDS凭据。
凭据名称
自定义的凭据名称。
RDS实例
选择阿里云账号下已有的RDS实例。
账号托管
长度不超过30720字节(30KB)。
双账号托管(推荐):适用于程序化访问数据库场景。托管两个相同权限的账号,保证口令重置切换的瞬间,程序访问数据库不被中断。
单击新建账号,配置账号名、选择数据库并指定权限。
说明一键创建和授权不会立即为您配置新的账号,而是在您审核确认凭据信息之后进行配置。
单击导入已有账号,选择用户名、配置口令。
说明建议您将口令配置为创建RDS实例用户账号时对应的密码。如果导入的账号和口令不匹配,您可以在凭据首次轮转之后,获取正确的账号和口令。
单账号托管:适用于高权限账号或者人工运维账号托管场景。口令重置切换的瞬间,凭据的当前版本可能暂时无法使用。
单击新建账号,配置账号名、选择账号类型。
您可以选择普通账号和高权限账号两种账号类型。当您选择普通账号时,还需选择数据库并指定权限。
单击导入已有账号页签,选择用户名、配置口令。
加密主密钥
选择用于加密凭据值的密钥。
重要密钥和凭据需要属于同一个KMS实例,且密钥必须为对称密钥。关于KMS支持哪些对称密钥,请参见密钥管理类型和密钥规格。
如果是RAM用户、RAM角色,需要具备使用加密主密钥执行GenerateDataKey操作的权限。
标签
凭据的标签,方便您对凭据进行分类管理。每个标签由一个键值对(Key:Value)组成,包含标签键(Key)、标签值(Value)。
说明标签键和标签值的格式:最多支持128个字符,可以包含英文大小写字母、数字、正斜线(/)、反斜线(\)、下划线(_)、短划线(-)、半角句号(.)、加号(+)、等于号(=)、半角冒号(:)、字符at(@)。
标签键不能以aliyun或acs:开头。
每个凭据最多可以设置20个标签键值对。
自动轮转
选择开启或关闭凭据的周期性自动轮转。
轮转周期
仅当开启自动轮转时需要设置。支持设置为6小时~365天。
表示轮转的周期,设置后KMS将定期为您更新凭据值。
描述信息
凭据的描述信息。
策略配置
凭据的策略配置。详细介绍,请参见凭据策略概述。
您可以先选择默认策略,创建凭据后根据业务需要再修改策略。
步骤二:将RDS数据库录入DMS
- 登录数据管理DMS 5.0。
在控制台首页左侧的数据库实例区域,单击新增实例图标。
说明您也可以在控制台首页的搜索框中,输入实例管理,在搜索结果中单击实例管理进入对应页面,单击新增,进行新增实例操作。
在新增实例页面,录入RDS实例信息。
访问方式选择KMS凭证登录。其他参数如何配置,请参见云数据库录入。
相关文档
已经在DMS中通过账号密码方式录入的RDS数据库, 支持将访问方式修改为KMS凭据登录。具体操作,请参见编辑实例。
将数据库录入DMS后,您可能需要进行如下操作:
创建数据库、创建表、查询表数据、变更表数据等操作。具体操作,请参见SQL Console初体验。
需要在不锁表的前提下变更大量表数据,您可使用DMS的无锁数据变更。具体操作,请参见DML无锁变更。
导出表数据。具体操作,请参见导出数据。