Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création d'un compte de base de données à l'aide de l'authentification IAM
Avec l'authentification de base de données IAM, vous n'avez pas besoin d'associer de mots de passe de base de données aux comptes d'utilisateurs que vous créez. Si vous supprimez un utilisateur qui est mappé à un compte de base de données, vous devez également supprimer le compte de base de données avec l'instruction DROP USER.
Note
Le nom d'utilisateur utilisé pour l'authentification IAM doit correspondre à la casse du nom d'utilisateur dans la base de données.
Rubriques
Utilisation de l'authentification IAM avec MariaDB et MySQL
Avec MariaDB et MySQL, l'authentification est gérée par AWSAuthenticationPlugin, un plugin fourni par AWS qui fonctionne de manière transparente avec IAM pour authentifier vos utilisateurs. Connectez-vous à l'instance de base de données en tant qu'utilisateur principal ou autre utilisateur qui peut créer des utilisateurs et accorder des privilèges. Après vous être connecté, exécutez l'instruction CREATE USER, comme indiqué dans l'exemple suivant.
CREATE USER jane_doe IDENTIFIED WITH AWSAuthenticationPlugin AS 'RDS';
La clause IDENTIFIED WITH permet à MariaDB et MySQL d'utiliser AWSAuthenticationPlugin pour authentifier le compte de base de données (jane_doe). La clause AS 'RDS' fait référence à la méthode d'authentification. Assurez-vous que le nom d'utilisateur de base de données spécifié est identique à une ressource dans la politique IAM pour l'accès à la base de données IAM. Pour plus d'informations, consultez Création et utilisation d'une politique IAM pour l'accès à une base de données IAM.
Note
Si vous voyez le message suivant, cela signifie que le plugin fourni par AWS n'est pas disponible pour l'instance de base de données.
ERROR 1524 (HY000): Plugin 'AWSAuthenticationPlugin' is not
loaded
Pour remédier à cette erreur, vérifiez si vous utilisez une configuration prise en charge et si vous avez activé l'authentification de base de données IAM sur votre instance de base de données. Pour plus d'informations, veuillez consulter Disponibilité des régions et des versions et Activation et désactivation de l'authentification de base de données IAM.
Après avoir créé un compte à l'aide de AWSAuthenticationPlugin, vous pouvez le gérer de la même manière que les autres comptes de base de données. Vous pouvez par exemple modifier les privilèges de compte avec GRANT et REVOKE, ou changer divers attributs de compte avec l'instruction ALTER USER.
Le trafic réseau de base de données est chiffré à l'aide de SSL/TLS lors de l'utilisation d'IAM. Pour autoriser les connexions SSL, modifiez le compte d'utilisateur à l'aide de la commande suivante.
ALTER USER 'jane_doe'@'%' REQUIRE SSL;
Utilisation de l'authentification IAM avec PostgreSQL
Pour utiliser l'authentification IAM avec PostgreSQL, connectez-vous à l'instance de base de données en tant qu'utilisateur principal ou autre utilisateur qui peut créer des utilisateurs et accorder des privilèges. Après vous être connecté, créez des utilisateurs de base de données, puis accordez-leur le rôle rds_iam, comme indiqué dans l'exemple suivant.
CREATE USER db_userx; GRANT rds_iam TO db_userx;
Assurez-vous que le nom d'utilisateur de base de données spécifié est identique à une ressource dans la politique IAM pour l'accès à la base de données IAM. Pour plus d'informations, consultez Création et utilisation d'une politique IAM pour l'accès à une base de données IAM.
