Erstellen eines Datenbankkontos mithilfe der IAM-Authentifizierung - Amazon Relational Database Service

Erstellen eines Datenbankkontos mithilfe der IAM-Authentifizierung

Mit der IAM-Datenbank-Authentifizierung müssen Sie den von Ihnen erstellten Benutzerkonten keine Datenbankpasswörter zuweisen. Wenn Sie einen mit dem Datenbankkonto verknüpften IAM-Benutzer entfernen, sollten Sie auch das Datenbankkonto mit der Anweisung DROP USER entfernen.

Anmerkung

Der für die IAM-Authentifizierung verwendete Benutzername muss mit der Schreibweise des Benutzernamens in der Datenbank übereinstimmen.

Verwenden der IAM-Authentifizierung mit MySQL

Mit MySQL erfolgt die Authentifizierung durch AWSAuthenticationPlugin—, ein von AWS bereitgestelltes Plug-In, das reibungslos mit IAM zur Authentifizierung Ihrer IAM-Benutzer funktioniert. Stellen Sie eine Verbindung zur DB-Instance her und geben Sie die Anweisung CREATE USER aus, wie im folgenden Beispiel beschrieben.

CREATE USER jane_doe IDENTIFIED WITH AWSAuthenticationPlugin AS 'RDS';

Die Klausel IDENTIFIED WITH ermöglicht MySQL die Verwendung von AWSAuthenticationPlugin, um das Datenbankkonto (jane_doe) zu authentifizieren. Die AS 'RDS'-Klausel bezieht sich auf die Authentifizierungsmethode. Stellen Sie sicher, dass der angegebene Datenbankbenutzername mit einer Ressource in der IAM-Richtlinie für den IAM-Datenbankzugriff identisch ist. Weitere Informationen finden Sie unter Erstellen und Verwenden einer IAM-Richtlinie für den IAM-Datenbankzugriff.

Anmerkung

Wenn folgende Meldung erscheint, ist das von AWS bereitgestellte Plug-In für die aktuelle DB-Instance nicht verfügbar.

ERROR 1524 (HY000): Plugin 'AWSAuthenticationPlugin' is not loaded

Stellen Sie sicher, dass Sie eine unterstützte Konfiguration verwenden und die IAM-Datenbankauthentifizierung auf Ihrer DB-Instance aktiviert haben, um den Fehler zu beheben. Weitere Informationen finden Sie unter Verfügbarkeit für die IAM-Datenbank-Authentifizierung und Aktivieren und Deaktivieren der IAM-Datenbank-Authentifizierung.

Nachdem Sie ein Konto mithilfe von AWSAuthenticationPlugin erstellt haben, können Sie es in der gleichen Weise wie sonstige Datenbankkonten verwalten. Sie können beispielsweise Kontoberechtigungen mit den Anweisungen GRANT und REVOKE oder mehrere Kontoattribute mit der Anweisung ALTER USER ändern.

Verwenden der IAM-Authentifizierung mit PostgreSQL

Um die IAM-Authentifizierung mit PostgreSQL zu verwenden, stellen Sie eine Verbindung zur DB-Instance her, erstellen Datenbankbenutzer und weisen ihnen, wie im folgenden Beispiel aufgeführt, die Rolle rds_iam zu.

CREATE USER db_userx; GRANT rds_iam TO db_userx;

Stellen Sie sicher, dass der angegebene Datenbankbenutzername mit einer Ressource in der IAM-Richtlinie für den IAM-Datenbankzugriff identisch ist. Weitere Informationen finden Sie unter Erstellen und Verwenden einer IAM-Richtlinie für den IAM-Datenbankzugriff.