Aktivieren und Deaktivieren der IAM-Datenbank-Authentifizierung

Die IAM-Datenbank-Authentifizierung ist für DB-Instances standardmäßig deaktiviert. Sie können die IAM-Datenbankauthentifizierung mithilfe der AWS Management Console, AWS CLI oder der API aktivieren (oder wieder deaktivieren).

Sie können die IAM-Datenbankauthentifizierung aktivieren, wenn Sie eine der folgenden Aktionen ausführen:

Informationen zum Erstellen einer neuen DB-Instance mit aktivierter IAM-Datenbankauthentifizierung finden Sie unter Erstellen einer Amazon RDS-DB-Instance.
Informationen zum Ändern einer DB-Instance zur Aktivierung der IAM-Datenbankauthentifizierung finden Sie unter Ändern einer Amazon RDS-DB-Instance.
Informationen zum Wiederherstellen einer DB-Instance aus einem Snapshot mit aktivierter IAM-Datenbankauthentifizierung finden Sie unter Wiederherstellung auf einer DB-Instance.
Informationen zum Wiederherstellen eines DB-Instance-Clusters zu einem Zeitpunkt mit aktivierter IAM-Datenbankauthentifizierung finden Sie unter Wiederherstellen einer DB-Instance zu einer bestimmten Zeit.

IAM-Authentifizierung für PostgreSQL-DB-Instances erfordern 1 als SSL-Wert. Sie können die IAM-Authentifizierung für eine PostgreSQL-DB-Instance nicht aktivieren, wenn der SSL-Wert 0 ist. Sie können den SSL-Wert nicht auf 0 ändern, wenn die IAM-Authentifizierung für eine PostgreSQL-DB-Instance aktiviert ist.

Jeder Erstellungs- oder Änderungsworkflow verfügt über einen Abschnitt Database authentification (Datenbankauthentifizierung), in dem Sie die IAM-Datenbankauthentifizierung aktivieren oder deaktivieren können. Wählen Sie in diesem Abschnitt Password and IAM database authentication (Passwort- und IAM-Datenbankauthentifizierung), um die IAM-Datenbankauthentifizierung zu aktivieren.

So aktivieren bzw. deaktivieren die IAM-Datenbankauthentifizierung für eine vorhandene DB-Instance:

Öffnen Sie die Amazon-RDS-Konsole unter https://console.aws.amazon.com/rds/.
Wählen Sie im Navigationsbereich Databases (Datenbanken) aus.
Wählen Sie die DB-Instance aus, die Sie ändern möchten.

Anmerkung
Stellen Sie sicher, dass die DB-Instance mit der IAM-Authentifizierung kompatibel ist. Überprüfen Sie die Kompatibilitätsanforderungen in Verfügbarkeit von Regionen und Versionen.
Wählen Sie Ändern aus.
Wählen Sie in diesem Abschnitt Datenbankauthentifizierung Password and IAM database authentication (Passwort- und IAM-Datenbankauthentifizierung), um die IAM-Datenbankauthentifizierung zu aktivieren. Wählen Sie Passwort-Authentifizierung oder Passwort- und Kerberos-Authentifizierung aus, um die IAM-Authentifizierung zu deaktivieren.
Klicken Sie auf Continue.
Um die Änderungen sofort anzuwenden, wählen Sie im Abschnitt Scheduling of modifications (Planen von Änderungen) die Option Immediately (Sofort).
Wählen Sie Modify DB instance (DB-Instance ändern).

Verwenden Sie den Befehl AWS CLI, um mithilfe der create-db-instance eine neue DB-Instance mit IAM-Authentifizierung zu erstellen. Geben Sie die Option --enable-iam-database-authentication wie im folgenden Beispiel an.


aws rds create-db-instance \
    --db-instance-identifier mydbinstance \
    --db-instance-class db.m3.medium \
    --engine MySQL \
    --allocated-storage 20 \
    --master-username masterawsuser \
    --manage-master-user-password \
    --enable-iam-database-authentication

Um eine vorhandene DB-Instance zu aktualisieren, um eine IAM-Authentifizierung zu ermöglichen oder zu verhindern, verwenden Sie den AWS CLI-Befehl modify-db-instance. Sie müssen entweder die Option --enable-iam-database-authentication oder --no-enable-iam-database-authentication angeben.

Anmerkung

Stellen Sie sicher, dass die DB-Instance mit der IAM-Authentifizierung kompatibel ist. Überprüfen Sie die Kompatibilitätsanforderungen in Verfügbarkeit von Regionen und Versionen.

Standardmäßig führt Amazon RDS die Änderung während des nächsten Wartungsfensters durch. Wenn Sie diese Einstellung übergehen und die IAM-DB-Authentifizierung schnellstmöglich aktivieren möchten, verwenden Sie den Parameter --apply-immediately.

Im folgenden Beispiel wird gezeigt, wie Sie die IAM-Authentifizierung für eine vorhandene DB-Instance sofort aktivieren können.


aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --apply-immediately \
    --enable-iam-database-authentication

Verwenden Sie zum Wiederherstellen einer DB-Instance einen der folgenden AWS CLI-Befehle:

Die Voreinstellung der IAM-Datenbank-Authentifizierung entspricht der Einstellung des Quell-Snapshot. Wählen Sie die entsprechende Option --enable-iam-database-authentication oder --no-enable-iam-database-authentication aus.

Verwenden Sie die API-Operation , um mithilfe der API eine neue DB-Instance mit IAM-Authentifizierung zu erstellen CreateDBInstance. Stellen Sie den Parameter EnableIAMDatabaseAuthentication auf true ein.

Um eine bestehende DB-Instance mit oder ohne IAM-Authentifizierung zu aktualisieren, verwenden Sie die API-Operation ModifyDBInstance. Setzen Sie den Parameter EnableIAMDatabaseAuthentication auf true, um die IAM-Authentifizierung zu aktivieren, oder auf false, um sie zu deaktivieren.

Anmerkung

Stellen Sie sicher, dass die DB-Instance mit der IAM-Authentifizierung kompatibel ist. Überprüfen Sie die Kompatibilitätsanforderungen in Verfügbarkeit von Regionen und Versionen.

Verwenden Sie eine der folgenden API-Operationen, wenn Sie einen DB-Instance- wiederherstellen.

Die Voreinstellung der IAM-Datenbank-Authentifizierung entspricht der Einstellung des Quell-Snapshot. Zum Ändern dieser Einstellung setzen Sie den Parameter EnableIAMDatabaseAuthentication auf true, um die IAM-Authentifizierung zu aktivieren, oder auf false, um sie zu deaktivieren.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

IAM-Datenbankauthentifizierung

Erstellen und Verwenden einer IAM-Richtlinie für den IAM-Datenbankzugriff