Aktivieren und Deaktivieren der IAM-Datenbank-Authentifizierung - Amazon Relational Database Service

Aktivieren und Deaktivieren der IAM-Datenbank-Authentifizierung

Die IAM-Datenbank-Authentifizierung ist für DB-Instances standardmäßig deaktiviert. Sie können die IAM-Datenbankauthentifizierung mithilfe der AWS Management Console, AWS CLI oder der API aktivieren (oder wieder deaktivieren).

Sie können die IAM-Datenbankauthentifizierung aktivieren, wenn Sie eine der folgenden Aktionen ausführen:

IAM-Authentifizierung für PostgreSQL-DB-Instances erfordern 1 als SSL-Wert. Sie können die IAM-Authentifizierung für eine PostgreSQL-DB-Instance nicht aktivieren, wenn der SSL-Wert 0 ist. Sie können den SSL-Wert nicht auf 0 ändern, wenn die IAM-Authentifizierung für eine PostgreSQL-DB-Instance aktiviert ist.

Jeder Erstellungs- oder Änderungsworkflow verfügt über einen Abschnitt Database authentification (Datenbankauthentifizierung), in dem Sie die IAM-Datenbankauthentifizierung aktivieren oder deaktivieren können. Wählen Sie in diesem Abschnitt Password and IAM database authentication (Passwort- und IAM-Datenbankauthentifizierung), um die IAM-Datenbankauthentifizierung zu aktivieren.

So aktivieren bzw. deaktivieren die IAM-Datenbankauthentifizierung für eine vorhandene DB-Instance:

  1. Öffnen Sie die Amazon RDS-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich Databases (Datenbanken) aus.

  3. Wählen Sie die DB-Instance aus, die Sie ändern möchten.

    Anmerkung

    Stellen Sie sicher, dass die DB-Instance mit der IAM-Authentifizierung kompatibel ist. Überprüfen Sie die Kompatibilitätsanforderungen in Verfügbarkeit für die IAM-Datenbank-Authentifizierung.

  4. Wählen Sie Modify aus.

  5. Wählen Sie im Abschnitt Database authentification (Datenbankauthentifizierung) die Option Password and IAM database authentication (Passwort- und IAM-Datenbankauthentifizierung), um die IAM-Datenbankauthentifizierung zu aktivieren, oder wählen Sie eine andere Option, um sie zu deaktivieren.

  6. Klicken Sie auf Continue.

  7. Um die Änderungen sofort anzuwenden, wählen Sie im Abschnitt Scheduling of modifications (Planen von Änderungen) die Option Immediately (Sofort).

  8. Wählen Sie Modify DB instance (DB-Instance ändern).

Verwenden Sie den Befehl create-db-instance, um mithilfe der AWS CLI eine neue DB-Instance mit IAM-Authentifizierung zu erstellen. Geben Sie die Option --enable-iam-database-authentication wie im folgenden Beispiel an.

aws rds create-db-instance \ --db-instance-identifier mydbinstance \ --db-instance-class db.m3.medium \ --engine MySQL \ --allocated-storage 20 \ --master-username masterawsuser \ --master-user-password masteruserpassword \ --enable-iam-database-authentication

Um eine vorhandene DB-Instance zu aktualisieren, um eine IAM-Authentifizierung zu ermöglichen oder zu verhindern, verwenden Sie den AWS CLI-Befehl modify-db-instance. Sie müssen entweder die Option --enable-iam-database-authentication oder --no-enable-iam-database-authentication angeben.

Anmerkung

Stellen Sie sicher, dass die DB-Instance mit der IAM-Authentifizierung kompatibel ist. Überprüfen Sie die Kompatibilitätsanforderungen in Verfügbarkeit für die IAM-Datenbank-Authentifizierung.

Standardmäßig führt Amazon RDS die Änderung während des nächsten Wartungsfensters durch. Wenn Sie diese Einstellung übergehen und die IAM-DB-Authentifizierung schnellstmöglich aktivieren möchten, verwenden Sie den Parameter --apply-immediately.

Im folgenden Beispiel wird gezeigt, wie Sie die IAM-Authentifizierung für eine vorhandene DB-Instance sofort aktivieren können.

aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --apply-immediately \ --enable-iam-database-authentication

Verwenden Sie zum Wiederherstellen einer DB-Instance einen der folgenden AWS CLI-Befehle:

Die Voreinstellung der IAM-Datenbank-Authentifizierung entspricht der Einstellung des Quell-Snapshot. Wählen Sie die entsprechende Option --enable-iam-database-authentication oder --no-enable-iam-database-authentication aus.

Verwenden Sie die API-Operation CreateDBInstance, um mithilfe der API eine neue DB-Instance mit IAM-Authentifizierung zu erstellen. Stellen Sie den Parameter EnableIAMDatabaseAuthentication auf true ein.

Um eine bestehende DB-Instance mit oder ohne IAM-Authentifizierung zu aktualisieren, verwenden Sie die API-Operation ModifyDBInstance. Setzen Sie den Parameter EnableIAMDatabaseAuthentication auf true, um die IAM-Authentifizierung zu aktivieren, oder auf false, um sie zu deaktivieren.

Anmerkung

Stellen Sie sicher, dass die DB-Instance mit der IAM-Authentifizierung kompatibel ist. Überprüfen Sie die Kompatibilitätsanforderungen in Verfügbarkeit für die IAM-Datenbank-Authentifizierung.

Verwenden Sie eine der folgenden API-Operationen, wenn Sie einen DB-Instance- wiederherstellen.

Die Voreinstellung der IAM-Datenbank-Authentifizierung entspricht der Einstellung des Quell-Snapshot. Zum Ändern dieser Einstellung setzen Sie den Parameter EnableIAMDatabaseAuthentication auf true, um die IAM-Authentifizierung zu aktivieren, oder auf false, um sie zu deaktivieren.