Création d'un compte de base de données à l'aide de l'authentification IAM - Amazon Relational Database Service

Création d'un compte de base de données à l'aide de l'authentification IAM

Avec l'authentification de base de données IAM, vous n'avez pas besoin d'associer de mots de passe de base de données aux comptes d'utilisateurs que vous créez. Si vous supprimez un utilisateur IAM qui est mappé à un compte de base de données, vous devez également supprimer le compte de base de données avec l'instruction DROP USER.

Utilisation de l'authentification IAM avec PostgreSQL

Pour utiliser l'authentification IAM avec PostgreSQL, connectez-vous à l'instance de base de données, créez des utilisateurs de base de données, puis accordez-leur le rôle rds_iam, comme indiqué dans l'exemple suivant.

CREATE USER db_userx; GRANT rds_iam TO db_userx;

Utilisation de l'authentification IAM avec MySQL

Avec MySQL, l'authentification est gérée par AWSAuthenticationPlugin, un plug-in fourni par AWS qui agit de manière transparente avec IAM pour authentifier vos utilisateurs IAM. Connectez-vous à l'instance de base de données et exécutez l'instruction CREATE USER, comme indiqué dans l'exemple suivant.

CREATE USER jane_doe IDENTIFIED WITH AWSAuthenticationPlugin AS 'RDS';

La clause IDENTIFIED WITH permet à MySQL d'utiliser le AWSAuthenticationPlugin pour authentifier le compte de base de données (jane_doe). La clause AS 'RDS' fait référence à la méthode d'authentification, et le compte de base de données spécifié doit avoir le même nom que l'utilisateur ou le rôle IAM. Dans cet exemple, le compte de base de données et l'utilisateur ou le rôle IAM se nomment jane_doe.

Note

Si vous voyez le message suivant, cela signifie que le plug-in fourni par AWS n'est pas disponible pour l'instance de base de données.

ERROR 1524 (HY000): Plugin 'AWSAuthenticationPlugin' is not loaded

Pour remédier à cette erreur, vérifiez si vous utilisez une configuration prise en charge et si vous avez activé l'authentification de base de données IAM sur votre instance de base de données. Pour plus d'informations, consultez Disponibilité de l'authentification de base de données IAM et Activation et désactivation de l'authentification de base de données IAM.

Après avoir créé un compte à l'aide de AWSAuthenticationPlugin, vous pouvez le gérer de la même manière que les autres comptes de base de données. Vous pouvez par exemple modifier les privilèges de compte avec GRANT et REVOKE, ou changer divers attributs de compte avec l'instruction ALTER USER.