Création d'un compte de base de données à l'aide de l'authentification IAM

Avec l'authentification de base de données IAM, vous n'avez pas besoin d'associer de mots de passe de base de données aux comptes d'utilisateurs que vous créez. Si vous supprimez un utilisateur qui est mappé à un compte de base de données, vous devez également supprimer le compte de base de données avec l'instruction DROP USER.

Note

Le nom d'utilisateur utilisé pour l'authentification IAM doit correspondre à la casse du nom d'utilisateur dans la base de données.

Utilisation de l'authentification IAM avec Aurora MySQL

Avec et Aurora MySQL, l'authentification est AWSAuthenticationPlugin gérée AWS par un plugin fourni qui fonctionne parfaitement avec IAM pour authentifier vos utilisateurs. Connectez-vous au cluster de bases de données en tant qu'utilisateur principal ou autre utilisateur qui peut créer des utilisateurs et accorder des privilèges. Après vous être connecté, exécutez l'instruction CREATE USER, comme indiqué dans l'exemple suivant.

CREATE USER 'jane_doe' IDENTIFIED WITH AWSAuthenticationPlugin AS 'RDS'; 
            

La clause IDENTIFIED WITH permet à Aurora MySQL d'utiliser AWSAuthenticationPlugin pour authentifier le compte de base de données (jane_doe). La clause AS 'RDS' fait référence à la méthode d'authentification. Assurez-vous que le nom d'utilisateur de base de données spécifié est identique à une ressource dans la politique IAM pour l'accès à la base de données IAM. Pour plus d’informations, consultez Création et utilisation d'une politique IAM pour l'accès à une base de données IAM.

Note

Si le message suivant s'affiche, cela signifie que le plug-in AWS fourni n'est pas disponible pour le cluster d' de base de données actuel.

ERROR 1524 (HY000): Plugin 'AWSAuthenticationPlugin' is not loaded

Pour remédier à cette erreur, vérifiez si vous utilisez une configuration prise en charge et si vous avez activé l'authentification de base de données IAM sur votre cluster de base de données. Pour plus d'informations, veuillez consulter Disponibilité des régions et des versions et Activation et désactivation de l'authentification de base de données IAM.

Après avoir créé un compte à l'aide de AWSAuthenticationPlugin, vous pouvez le gérer de la même manière que les autres comptes de base de données. Vous pouvez par exemple modifier les privilèges de compte avec GRANT et REVOKE, ou changer divers attributs de compte avec l'instruction ALTER USER.

Le trafic réseau de base de données est chiffré à l'aide de SSL/TLS lors de l'utilisation d'IAM. Pour autoriser les connexions SSL, modifiez le compte d'utilisateur à l'aide de la commande suivante.

ALTER USER 'jane_doe'@'%' REQUIRE SSL;     

Utilisation de l'authentification IAM avec Aurora PostgreSQL

Pour utiliser l'authentification IAM avec Aurora PostgreSQL, connectez-vous au cluster de bases de données en tant qu'utilisateur principal ou autre utilisateur qui peut créer des utilisateurs et accorder des privilèges. Après vous être connecté, créez des utilisateurs de base de données, puis accordez-leur le rôle rds_iam, comme indiqué dans l'exemple suivant.

CREATE USER db_userx; 
GRANT rds_iam TO db_userx;

Assurez-vous que le nom d'utilisateur de base de données spécifié est identique à une ressource dans la politique IAM pour l'accès à la base de données IAM. Pour plus d’informations, consultez Création et utilisation d'une politique IAM pour l'accès à une base de données IAM. Vous devez accorder le rds_iam rôle pour utiliser l'authentification IAM. Vous pouvez également utiliser des adhésions imbriquées ou des attributions indirectes du rôle.

Notez qu'un utilisateur de base de données PostgreSQL peut utiliser l'authentification IAM ou Kerberos, mais pas les deux, si bien que cet utilisateur ne peut pas avoir le rôle rds_ad. Cela s'applique également aux adhésions imbriquées. Pour plus d'informations, voir Étape 7 : Créer des utilisateurs PostgreSQL pour vos principaux Kerberos .