凭据概述
通用凭据
通用凭据支持在各场景下进行自定义凭据的全生命周期管理,用户可以通过凭据管理服务实现对数据库账号口令、服务器口令、SSH Key、访问密钥等各类型凭据的统一管理、检索与安全存储,且支持多个版本管理,方便用户实现凭据轮转。
轮转凭据
数据库凭据泄露是导致数据泄露的主要途径。凭据管理服务支持托管RDS、TaurusDB凭据,能够全自动的定期轮转与手动立即轮转,满足各类数据库凭据管理场景,降低业务数据面临的安全风险。
通用凭据与RDS凭据差异
凭据类型 |
通用凭据 |
轮转凭据 |
---|---|---|
使用场景 |
各场景下自定义凭据的全生命周期管理 |
|
是否支持自动轮转 |
否,需要用户自行触发轮转 |
是,支持单双用户两种经典轮转模型 |
轮转凭据使用流程
流程说明:
- 创建一个轮转凭据。
- 设置凭据名称、标签等。
- 配置自动轮转策略。
- 应用系统在使用过程中需要访问数据库时,可以向CSMS服务请求访问凭据,获取凭据值,调用API接口详情请参见查询凭据版本和凭据值。
- 应用系统通过访问返回的凭据值解析明文数据,获取账号和密码后,可以访问该用户对应的目标数据库。
- 开启自动轮转后,数据库实例所托管的密码将定时轮转更新,请确认使用该数据库实例的应用端已完成代码适配,可在数据库连接建立时,动态获取最新凭据。
- 不要轻易缓存凭据中的任何信息,避免账号密码轮转后失效,导致数据库连接失败。