Activation et désactivation de l'authentification de base de données IAM - Amazon Relational Database Service

Activation et désactivation de l'authentification de base de données IAM

Par défaut, l'authentification de base de données IAM est désactivée sur les instances et de bases de données. Vous pouvez activer l'authentification de base de données IAM (ou la désactiver à nouveau) à l'aide de AWS Management Console, de l'AWS CLI ou de l'API.

L'authentification IAM pour les des instances de base de données PostgreSQL nécessite que la valeur SSL soit égale à 1. Vous ne pouvez pas activer l'authentification IAM pour une instance de base de données PostgreSQL si la valeur SSL est égale à 0. Vous ne pouvez pas modifier et définir la valeur SSL sur 0 si l'authentification IAM est activée pour une instance de base de données PostgreSQL.

Pour créer une nouvelle instance de base de données avec authentification IAM en utilisant la console, veuillez consulter Création d'une instance de base de données Amazon RDS.

Chaque flux de travail de création dispose d'une page Configure Advanced Settings (Configuration de paramètres avancés), où vous pouvez activer l'authentification de base de données IAM. Dans la section Options de base de données de cette page, choisissez Oui pour Enable IAM DB Authentication (Activer l'authentification IAM de base de données).

Pour activer ou désactiver l'authentification IAM pour une instance ou un de base de données existant

  1. Ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/.

  2. Dans la panneau de navigation, choisissez Databases (Bases de données).

  3. Choisissez instance de base de données que vous souhaitez modifier.

    Note

    Veillez à ce que toutes les instances de base de données affectées soient compatibles avec l'authentification IAM. Consultez les exigences de compatibilité présentées dans Disponibilité de l'authentification de base de données IAM. Pour un cluster de base de données Aurora, vous ne pouvez activer l'authentification IAM que si toutes les instances de base de données du cluster sont compatibles avec IAM.

  4. Sélectionnez Modify (Modifier).

  5. Dans la section Options de base de données, pour Authentification IAM DB, choisissez Activer l'authentification IAM DB ou Désactiver, puis Continuer.

  6. Pour appliquer les modifications immédiatement, choisissez Appliquer immédiatement.

  7. Choisissez Modifier l'instance de base de données ou .

Pour restaurer une instance ou un de base de données

  1. Ouvrez la console Amazon RDS à l'adresse https://console.aws.amazon.com/rds/.

  2. Dans le panneau de navigation, choisissez Snapshots (Instantanés).

  3. Sélectionnez l'instantané à restaurer, puis Restaurer l'instantané sous Actions.

  4. Dans la section Settings (Paramètres), entrez un identifiant pour l'instance de base de données dans DB Instance Identifier (Identifiant de l'instance de base de données).

  5. Dans la section Database options (Options de base de données) pour IAM DB Authentication (Authentification de base de données IAM), choisissez Enable IAM DB authorization (Activer l'autorisation de base de données IAM) ou Disable (Désactiver).

  6. Choisissez Restore DB Instance.

Pour créer une nouvelle instance de base de données avec authentification IAM par l'intermédiaire de l'AWS CLI, utilisez la commande create-db-instance Spécifiez l'option --enable-iam-database-authentication, comme indiqué dans l'exemple suivant.

aws rds create-db-instance \ --db-instance-identifier mydbinstance \ --db-instance-class db.m3.medium \ --engine MySQL \ --allocated-storage 20 \ --master-username masterawsuser \ --master-user-password masteruserpassword \ --enable-iam-database-authentication

Pour mettre à jour une instance de bases de données existante de manière à activer ou non l'authentification IAM, utilisez la commande de l'AWS CLI modify-db-instance. Spécifiez l'option --enable-iam-database-authentication ou --no-enable-iam-database-authentication, selon le cas.

Note

Veillez à ce que toutes les instances de base de données affectées soient compatibles avec l'authentification IAM. Consultez les exigences de compatibilité présentées dans Disponibilité de l'authentification de base de données IAM. Pour un cluster de base de données Aurora, vous ne pouvez activer l'authentification IAM que si toutes les instances de base de données du cluster sont compatibles avec IAM.

Par défaut, Amazon RDS procède à la modification pendant la fenêtre de maintenance suivante. Si vous souhaitez ignorer ceci et activer l'authentification de bases de données IAM dès que possible, utilisez le paramètre --apply-immediately.

L'exemple suivant montre comment activer immédiatement l'authentification IAM pour une instance de base de données existante.

aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --apply-immediately \ --enable-iam-database-authentication

Si vous restaurez un ou une instance de base de données, utilisez l'une des commandes AWS CLI suivantes :

Le paramètre d'authentification de base de données IAM par défaut est celui de l'instantané source. Pour le modifier, spécifiez l'option --enable-iam-database-authentication ou --no-enable-iam-database-authentication, selon le cas.

Pour créer une nouvelle instance de base de données avec authentification IAM par l'intermédiaire de l'API, utilisez l'opération d'API CreateDBInstance. Définissez le paramètre EnableIAMDatabaseAuthentication sur true.

Pour mettre à jour une instance de base de données existante de manière à activer l'authentification IAM, utilisez l'opération d'API ModifyDBInstance. Définissez le paramètre EnableIAMDatabaseAuthentication sur true pour activer l'authentification IAM ou sur false pour la désactiver.

Note

Veillez à ce que toutes les instances de base de données affectées soient compatibles avec l'authentification IAM. Consultez les exigences de compatibilité présentées dans Disponibilité de l'authentification de base de données IAM. Pour un cluster de base de données Aurora, vous ne pouvez activer l'authentification IAM que si toutes les instances de base de données du cluster sont compatibles avec IAM.

Si vous restaurez un ou une instance de base de données, utilisez l'une des opérations d’API suivantes :

Le paramètre d'authentification de base de données IAM par défaut est celui de l'instantané source. Pour modifier ce paramètre, définissez le paramètre EnableIAMDatabaseAuthentication sur true pour activer l'authentification IAM ou sur false pour la désactiver.