Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration manuelle de l’authentification de base de données et de l’accès aux ressources
Le processus manuel de configuration de l’authentification de la base de données et de l’accès aux ressources comprend les étapes suivantes :
1. [Création de la solution gérée par le client AWS KMS key](#limitless-load.auth.create-kms)
1. [Ajout des stratégies d’autorisation de rôle IAM](#limitless-load.auth.iam-policy)
1. [Création des secrets de base de données](#limitless-load.auth.secrets)
1. [Création d’un rôle IAM](#limitless-load.auth.iam-role)
1. [Mettre à jour le système géré par le client AWS KMS key](#limitless-load.auth.update-kms)
Ce processus est facultatif et exécute les mêmes tâches que dans[Configuration de l’authentification de la base de données et de l’accès aux ressources à l’aide d’un script](limitless-load.script.md). Nous vous recommandons d’utiliser le script.
## Création de la solution gérée par le client AWS KMS key
Suivez les procédures décrites dans [Création de clés de chiffrement symétriques](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) pour créer une clé KMS gérée par le client. Vous pouvez utiliser une clé existante si elle répond aux exigences suivantes :
**Pour créer une clé KMS gérée par le client**
1. Connectez-vous à la AWS KMS console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Accédez à la page **Clés gérées par le client**.
1. Choisissez **Create key**.
1. Sur la page **Configurer la clé** :
1. Pour **Type de clé**, choisissez **Symétrique**.
1. Pour **Utilisation de la clé**, choisissez **Chiffrer et déchiffrer**.
1. Choisissez **Suivant**.
1. Sur la page **Ajouter des étiquettes**, entrez un **Alias** tel que **limitless**, puis choisissez **Suivant**.
1. Sur la page **Définir les autorisations d’administration de clé**, assurez-vous que la case **Autoriser les administrateurs clés à supprimer cette clé** est cochée, puis choisissez **Suivant**.
1. Sur la page **Définir des autorisations d’utilisation de clé**, choisissez **Suivant**.
1. Dans la page **Vérification**, choisissez **Terminer**.
La stratégie de clé doit être mise à jour ultérieurement.
Tapez l’Amazon Resource Name (ARN) de la clé KMS qui doit être utilisée dans [Ajout des stratégies d’autorisation de rôle IAM](#limitless-load.auth.iam-policy).
[Pour plus d'informations sur l'utilisation de AWS CLI pour créer la clé KMS gérée par le client, voir [create-key et create-alias](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kms/create-key.html).](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kms/create-alias.html)
## Création des secrets de base de données
Pour permettre à l'utilitaire de chargement de données d'accéder aux tables de base de données source et de destination, vous devez créer deux secrets AWS Secrets Manager : un pour la base de données source et un pour la base de données de destination. Ces secrets stockent les noms d’utilisateur et les mots de passe permettant d’accéder aux bases de données source et de destination.
Suivez les procédures décrites dans [Créer un secret AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html) pour créer les secrets de la paire clé-valeur.
**Pour créer des secrets de base de données**
1. Ouvrez la console Secrets Manager à l'adresse [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Choisissez **Store a new secret** (Stocker un nouveau secret).
1. Sur la page **Choisir un type de secret** :
1. Pour **Type de secret**, choisissez **Autre type de secret**.
1. Pour les **Key/value paires**, choisissez l'onglet **Texte en clair**.
1. Entrez le code JSON suivant, où `{{sourcedbreader}}` et `{{sourcedbpassword}}` sont les informations d’identification de l’utilisateur de la base de données source [Création des informations d’identification de base de données source](limitless-load.utility.md#limitless-load.users.source).
```
{
"username":"{{sourcedbreader}}",
"password":"{{sourcedbpassword}}"
}
```
1. Pour **Clé de chiffrement**, choisissez la clé KMS que vous avez créée dans [Création de la solution gérée par le client AWS KMS key](#limitless-load.auth.create-kms), par exemple `limitless`.
1. Choisissez **Suivant**.
1. Sur la page **Configurer le secret**, indiquez un **Nom de secret**, tel que **source\_DB\_secret** puis choisissez **Suivant**.
1. Sur la page **Configurer la rotation - *facultatif***, choisissez **Suivant**.
1. Sur la page **Review** (Vérification), choisissez **Store** (Stocker).
1. Répétez la procédure pour le secret de base de données de destination :
1. Entrez le code JSON suivant, où `{{destinationdbwriter}}` et `{{destinationdbpassword}}` sont les informations d’identification de l’utilisateur de la base de données de destination depuis [Création des informations d’identification de base de données de destination](limitless-load.utility.md#limitless-load.users.destination).
```
{
"username":"{{destinationdbwriter}}",
"password":"{{destinationdbpassword}}"
}
```
1. Saisissez un **Nom de secret**, par exemple **destination\_DB\_secret**.
Enregistrez les ARN des secrets qui doivent être utilisés dans [Ajout des stratégies d’autorisation de rôle IAM](#limitless-load.auth.iam-policy).
## Création d’un rôle IAM
Le chargement des données nécessite que vous donniez accès aux AWS ressources. Pour fournir un accès, vous créez le rôle IAM `aurora-data-loader` en suivant les procédures décrites dans [Création d’un rôle pour la délégation d’autorisations à un utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html).
**Pour créer le rôle IAM**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Accédez à la page **Rôles**.
1. Choisissez **Créer un rôle**.
1. Sur la page **Sélectionner une entité de confiance** :
1. Pour **Type d’entité de confiance**, choisissez **Stratégie d’approbation personnalisée**.
1. Entrez le code JSON suivant pour la stratégie d’approbation personnalisée :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"rds.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Choisissez **Suivant**.
1. Sur la page **Add permissions** (Ajouter des autorisations), sélectionnez **Next** (Suivant).
1. Sur la page **Nommer, vérifier et créer** :
1. Pour **Nom du rôle**, entrez **aurora-data-loader** ou un autre nom de votre choix.
1. Choisissez **Ajouter une balise** et entrez la balise suivante :
+ **Clé** : **assumer**
+ **Value (Valeur)** : **aurora\_limitless\_table\_data\_load**
**Important**
Aurora PostgreSQL Limitless Database peut uniquement assumer un rôle IAM présentant cette balise.
1. Choisissez **Créer un rôle**.
## Mettre à jour le système géré par le client AWS KMS key
Suivez les procédures décrites dans [Modification d’une stratégie de clé](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) pour ajouter le rôle IAM `aurora-data-loader` à la stratégie clé par défaut.
**Pour ajouter le rôle IAM à la stratégie de clé**
1. Connectez-vous à la AWS KMS console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Accédez à la page **Clés gérées par le client**.
1. Choisissez la clé KMS que vous avez créée dans [Création de la solution gérée par le client AWS KMS key](#limitless-load.auth.create-kms), par exemple`limitless`.
1. Dans l’onglet **Stratégie de clé**, pour **Utilisateurs de clés**, sélectionnez **Ajouter**.
1. Dans la fenêtre **Ajouter des utilisateurs de clés**, sélectionnez le nom du rôle IAM que vous avez créé dans [Création d’un rôle IAM](#limitless-load.auth.iam-role), par exemple **aurora-data-loader**.
1. Choisissez **Ajouter**.
## Ajout des stratégies d’autorisation de rôle IAM
Vous devez ajouter des stratégies d’autorisation au rôle IAM que vous avez créé. Cela permet à l’utilitaire de chargement de données Aurora PostgreSQL Limitless Database d’accéder aux ressources AWS associées pour établir des connexions réseau et récupérer les secrets des informations d’identification de la base de données source et de destination.
Pour plus d’informations, consultez [Modification d’un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html#roles-modify_gen-policy).
**Pour ajouter des stratégies d’autorisation**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Accédez à la page **Rôles**.
1. Choisissez le rôle IAM que vous avez créé dans [Création d’un rôle IAM](#limitless-load.auth.iam-role), par exemple **aurora-data-loader**.
1. Dans l’onglet **Autorisations**, sélectionnez **Ajouter des autorisations**, puis **Créer une stratégie en ligne** dans **Stratégies d’autorisation**.
1. Sur la page **Spécifier les autorisations**, choisissez l’éditeur **JSON**.
1. Copiez et collez le modèle suivant dans l’éditeur JSON, puis remplacez les espaces réservés par les ARN correspondant à vos secrets de base de données et à votre clé KMS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Ec2Permission",
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeRegions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkAcls"
],
"Resource": "*"
},
{
"Sid": "SecretsManagerPermissions",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:{{123456789012}}:secret:{{source_DB_secret-ABC123}}",
"arn:aws:secretsmanager:us-east-1:{{123456789012}}:secret:{{destination_DB_secret-456DEF}}"
]
}, {
"Sid": "KmsPermissions",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:{{123456789012}}:key/{{aa11bb22-####-####-####-fedcba123456}}"
},
{
"Sid": "RdsPermissions",
"Effect": "Allow",
"Action": [
"rds:DescribeDBClusters",
"rds:DescribeDBInstances"
],
"Resource": "*"
}
]
}
```
------
1. Vérifiez s’il y a des erreurs et corrigez-les.
1. Choisissez **Suivant**.
1. Sur la page **Vérifier et créer**, saisissez un **Nom de stratégie**, tel que **data\_loading\_policy**, puis choisissez **Créer une stratégie**.