针对阿里云关系型数据库RDS,凭据管家支持配置动态RDS凭据,对凭据进行全自动的定期轮换,降低业务数据面临的安全威胁。
背景信息
针对数据库的攻击是数据安全面临的主要威胁之一。为了降低数据泄露的安全风险,执行有效的凭据保护和定期轮转非常关键。企业在实施凭据保护和轮转策略时,面临以下问题:
- 为了保护凭据的明文,需要对其进行加密。应用部署的流程变长,带来很高的研发运维成本,也很难强制执行。
- 缺乏凭据自动轮转的软件设施,而人工轮转依赖安全、运维、研发等多个角色相互配合,流程制定和实施难度高且容易出错。
- 缺乏针对凭据泄露事件的快速应急响应能力,处理凭据泄露事件时容易造成系统故障。
- 缺乏对各类云资源所需凭据的中心化管理手段,无法实现规模化管理,管理成本高。
解决方案
KMS凭据管家支持动态RDS凭据,不仅对RDS凭据提供加密保护的能力,而且提供了高频轮转能力,通过简单高效的接入方式,帮助您以较低的研发和运维成本获得较高的安全性。减少凭据的有效时间窗口,从而有效降低RDS数据库的数据泄露风险。
动态RDS凭据具有以下优势:
- 防止静态数据库账号口令的泄露,提升数据安全性。
- 提供简单的客户端接入方式,应用程序以无代码或者低代码的方式使用。
- 具备应急处置能力,当您通过人工一次性轮转的方式管理凭据时,应用程序不受影响。
- 支持通过Terraform或者阿里云ROS等运维编排工具管理RDS资源和RDS凭据,满足中心化、规模化的安全管理需求。
产品架构
使用动态RDS凭据,应用程序将无需配置静态数据库账号口令。管理员在凭据管家创建全托管RDS凭据,设置自动轮转周期之后,应用程序调用GetSecretValue接口获取仅在下次轮转前有效的账号口令,用于访问RDS托管数据库。

使用限制
动态RDS凭据支持特定的RDS数据库。
- 支持的数据库
RDS MySQL、RDS MariaDB TX和RDS SQL Server(2017集群版除外)。
- 不支持的数据库
RDS SQL Server 2017集群版、RDS PostgreSQL和RDS PPAS。