Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menyiapkan otentikasi database dan akses sumber daya secara manual
Proses manual untuk menyiapkan otentikasi database dan akses sumber daya memiliki langkah-langkah berikut:
1. [Membuat yang dikelola pelanggan AWS KMS key](#limitless-load.auth.create-kms)
1. [Menambahkan kebijakan izin peran IAM](#limitless-load.auth.iam-policy)
1. [Membuat rahasia database](#limitless-load.auth.secrets)
1. [Membuat peran IAM](#limitless-load.auth.iam-role)
1. [Memperbarui yang dikelola pelanggan AWS KMS key](#limitless-load.auth.update-kms)
Proses ini opsional, dan melakukan tugas yang sama seperti di[Menyiapkan otentikasi database dan akses sumber daya menggunakan skrip](limitless-load.script.md). Kami merekomendasikan menggunakan skrip.
## Membuat yang dikelola pelanggan AWS KMS key
Ikuti prosedur dalam [Membuat kunci enkripsi simetris untuk membuat kunci](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) KMS yang dikelola pelanggan. Anda juga dapat menggunakan kunci yang ada jika memenuhi persyaratan ini.
**Untuk membuat kunci KMS yang dikelola pelanggan**
1. Masuk ke Konsol Manajemen AWS dan buka AWS KMS konsol di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Arahkan ke halaman **kunci terkelola Pelanggan**.
1. Pilih **Buat kunci**.
1. Pada halaman **tombol Konfigurasi**:
1. Untuk **Key type**, pilih **Symmetric**.
1. Untuk **penggunaan Kunci**, pilih **Enkripsi dan dekripsi**.
1. Pilih **Berikutnya**.
1. Pada halaman **Tambahkan label**, masukkan **Alias** seperti**limitless**, lalu pilih **Berikutnya**.
1. **Pada halaman **Tentukan izin administratif kunci**, pastikan kotak centang **Izinkan administrator kunci untuk menghapus kunci ini** dipilih, lalu pilih Berikutnya.**
1. Pada halaman **Tentukan izin penggunaan kunci**, pilih **Berikutnya**.
1. Pada halaman **Ulasan**, pilih **Selesai**.
Anda memperbarui kebijakan kunci nanti.
Rekam Nama Sumber Daya Amazon (ARN) dari kunci KMS untuk digunakan. [Menambahkan kebijakan izin peran IAM](#limitless-load.auth.iam-policy)
[Untuk informasi tentang penggunaan AWS CLI untuk membuat kunci KMS yang dikelola pelanggan, lihat [create-key dan create-alias](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kms/create-key.html).](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/kms/create-alias.html)
## Membuat rahasia database
Untuk memungkinkan utilitas pemuatan data mengakses tabel database sumber dan tujuan, Anda membuat dua rahasia di AWS Secrets Manager: satu untuk database sumber dan satu untuk database tujuan. Rahasia ini menyimpan nama pengguna dan kata sandi untuk mengakses basis data sumber dan tujuan.
Ikuti prosedur di [Buat AWS Secrets Manager rahasia untuk membuat rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/create_secret.html) pasangan kunci-nilai.
**Untuk membuat rahasia database**
1. Buka konsol Secrets Manager di [https://console.aws.amazon.com/secretsmanager/](https://console.aws.amazon.com/secretsmanager/).
1. Pilih **Simpan rahasia baru**.
1. Pada halaman **Pilih jenis rahasia**:
1. Untuk **tipe Rahasia**, pilih **Jenis rahasia lainnya**.
1. Untuk **Key/value pasangan**, pilih tab **Plaintext**.
1. Masukkan kode JSON berikut, di mana `{{sourcedbreader}}` dan `{{sourcedbpassword}}` merupakan kredensil untuk pengguna basis data sumber dari. [Buat kredensyal basis data sumber](limitless-load.utility.md#limitless-load.users.source)
```
{
"username":"{{sourcedbreader}}",
"password":"{{sourcedbpassword}}"
}
```
1. Untuk **kunci Enkripsi**, pilih kunci KMS yang Anda buat[Membuat yang dikelola pelanggan AWS KMS key](#limitless-load.auth.create-kms), misalnya`limitless`.
1. Pilih **Berikutnya**.
1. Pada halaman **Konfigurasi rahasia**, masukkan **nama Rahasia**, seperti**source\_DB\_secret**, lalu pilih **Berikutnya**.
1. Pada halaman **Konfigurasi rotasi - *opsional***, pilih **Berikutnya**.
1. Pada halaman **Review**, pilih **Store**.
1. Ulangi prosedur untuk rahasia database tujuan:
1. Masukkan kode JSON berikut, dari mana `{{destinationdbwriter}}` dan `{{destinationdbpassword}}` merupakan kredensil untuk pengguna database tujuan. [Buat kredensyal database tujuan](limitless-load.utility.md#limitless-load.users.destination)
```
{
"username":"{{destinationdbwriter}}",
"password":"{{destinationdbpassword}}"
}
```
1. Masukkan **nama Rahasia**, seperti**destination\_DB\_secret**.
Rekam ARN rahasia untuk digunakan. [Menambahkan kebijakan izin peran IAM](#limitless-load.auth.iam-policy)
## Membuat peran IAM
Pemuatan data mengharuskan Anda untuk menyediakan akses ke AWS sumber daya. Untuk memberikan akses, Anda membuat peran `aurora-data-loader` IAM dengan mengikuti prosedur dalam [Membuat peran untuk mendelegasikan izin ke](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) pengguna IAM.
**Untuk membuat peran IAM**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Arahkan ke halaman **Peran**.
1. Pilih **Buat peran**.
1. Pada halaman **Pilih entitas tepercaya**:
1. Untuk **jenis entitas Tepercaya**, pilih **Kebijakan kepercayaan khusus**.
1. Masukkan kode JSON berikut untuk kebijakan kepercayaan khusus:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"rds.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. Pilih **Berikutnya**.
1. Pada halaman **Tambahkan izin**, pilih **Berikutnya**.
1. Pada halaman **Nama, tinjau, dan buat**:
1. Untuk **nama Peran**, masukkan **aurora-data-loader** atau nama lain yang Anda inginkan.
1. Pilih **Tambah tag**, dan masukkan tag berikut:
+ **Kunci**: **assumer**
+ **Nilai**: **aurora\_limitless\_table\_data\_load**
**penting**
Database Aurora PostgreSQL Limitless hanya dapat mengambil peran IAM yang memiliki tag ini.
1. Pilih **Buat peran**.
## Memperbarui yang dikelola pelanggan AWS KMS key
Ikuti prosedur di [Mengubah kebijakan kunci](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) untuk menambahkan peran IAM `aurora-data-loader` ke kebijakan kunci default.
**Untuk menambahkan peran IAM ke kebijakan kunci**
1. Masuk ke Konsol Manajemen AWS dan buka AWS KMS konsol di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Arahkan ke halaman **kunci terkelola Pelanggan**.
1. Pilih tombol KMS yang Anda buat[Membuat yang dikelola pelanggan AWS KMS key](#limitless-load.auth.create-kms), misalnya`limitless`.
1. Pada tab **Kebijakan kunci**, untuk **pengguna kunci**, pilih **Tambah**.
1. Di jendela **Tambah pengguna kunci**, pilih nama peran IAM yang Anda buat[Membuat peran IAM](#limitless-load.auth.iam-role), misalnya **aurora-data-loader**.
1. Pilih **Tambahkan**.
## Menambahkan kebijakan izin peran IAM
Anda harus menambahkan kebijakan izin ke peran IAM yang Anda buat. Hal ini memungkinkan utilitas pemuatan data Database Aurora PostgreSQL Limitless untuk mengakses AWS sumber daya terkait untuk membangun koneksi jaringan dan mengambil rahasia kredensi DB sumber dan tujuan.
Untuk informasi selengkapnya, lihat [Memodifikasi peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html#roles-modify_gen-policy).
**Untuk menambahkan kebijakan izin**
1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM di [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Arahkan ke halaman **Peran**.
1. Pilih peran IAM yang Anda buat[Membuat peran IAM](#limitless-load.auth.iam-role), misalnya **aurora-data-loader**.
1. Pada tab **Izin**, untuk **kebijakan Izin pilih **Tambahkan izin****, lalu **Buat** kebijakan sebaris.
1. Pada halaman **Tentukan izin**, pilih editor **JSON**.
1. Salin dan tempel template berikut ke editor JSON, ganti placeholder dengan ARN untuk rahasia database dan kunci KMS Anda.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Ec2Permission",
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterfacePermission",
"ec2:DescribeNetworkInterfacePermissions",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeRegions",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:DescribeNetworkAcls"
],
"Resource": "*"
},
{
"Sid": "SecretsManagerPermissions",
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue",
"secretsmanager:DescribeSecret"
],
"Resource": [
"arn:aws:secretsmanager:us-east-1:{{123456789012}}:secret:{{source_DB_secret-ABC123}}",
"arn:aws:secretsmanager:us-east-1:{{123456789012}}:secret:{{destination_DB_secret-456DEF}}"
]
}, {
"Sid": "KmsPermissions",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:GenerateDataKey"
],
"Resource": "arn:aws:kms:us-east-1:{{123456789012}}:key/{{aa11bb22-####-####-####-fedcba123456}}"
},
{
"Sid": "RdsPermissions",
"Effect": "Allow",
"Action": [
"rds:DescribeDBClusters",
"rds:DescribeDBInstances"
],
"Resource": "*"
}
]
}
```
------
1. Periksa kesalahan dan perbaiki.
1. Pilih **Berikutnya**.
1. Pada halaman **Tinjau dan buat**, masukkan **nama Kebijakan** seperti**data\_loading\_policy**, lalu pilih **Buat kebijakan**.