Authentification de base de données IAM pour MySQL et PostgreSQL - Amazon Relational Database Service

Authentification de base de données IAM pour MySQL et PostgreSQL

Vous pouvez vous authentifier auprès du de votre instance de base de données à l'aide de l'authentification de base de données AWS Identity and Access Management (IAM). L'authentification de base de données IAM fonctionne avec MySQL et PostgreSQL. Grâce à cette méthode d'authentification, vous n'avez plus besoin de mot de passe pour vous connecter au d'une instance de base de données. En revanche, un jeton d'authentification est nécessaire.

Un jeton d'authentification est une chaîne de caractères unique générée par Amazon RDS sur demande. Les jetons d'authentification sont générés au moyen d'AWS Signature Version 4. Chaque jeton a une durée de vie de 15 minutes. Il n'est pas nécessaire de stocker des informations d'identification utilisateur dans la base de données, car l'authentification est gérée de manière externe avec IAM. Vous pouvez aussi toujours utiliser l'authentification de base de données standard.

L'authentification de base de données IAM offre les avantages suivants :

  • Le trafic réseau à destination et en provenance de la base de données est chiffré à l'aide de Secure Socket Layer (SSL) ou de Transport Layer Security (TLS). Pour de plus amples informations sur l'utilisation de SSL/TLS avec Amazon RDS, veuillez consulter Utilisation de SSL/TLS pour chiffrer une connexion à une instance de base de données.

  • Vous pouvez utiliser IAM pour gérer de façon centralisée l'accès à vos ressources de base de données, au lieu de gérer l'accès de manière individuelle sur chaque instance ou de bases de données.

  • Pour les applications exécutées sur Amazon EC2, vous pouvez utiliser des informations d'identification spécifiques à votre instance EC2 pou accéder à la base de données, ce qui garantit une meilleure sécurité qu'un mot de passe.

Disponibilité de l'authentification de base de données IAM

L'authentification de base de données IAM est disponible pour les moteurs de bases de données suivants :

  • MySQL 8.0, version mineure 8.0.16 ou supérieure.

  • MySQL 5.7, version mineure 5.7.16 ou ultérieure

  • MySQL 5.6, version mineure 5.6.34 ou ultérieure

  • PostgreSQL 12, toutes les versions mineures

  • PostgreSQL 11, toutes les versions mineures

  • Pour PostgreSQL 10, version mineure 10.6 ou ultérieure

  • Pour PostgreSQL 9.6, version mineure 9.6.11 ou ultérieure

  • Pour PostgreSQL 9.5, version mineure 9.5.15 ou ultérieure

Limites de l'authentification de base de données IAM

Les limitations suivantes s'appliquent lors de l'utilisation de l'authentification de base de données IAM :

  • Le nombre maximal de connexions par seconde à votre d’instances de base de données peut être limité en fonction de sa classe d'instance de base de données et de votre charge de travail.

  • Actuellement, l'authentification de base de données IAM ne prend pas en charge les clés de contexte de condition globale.

    Pour de plus amples informations sur les clés de contexte de condition globale, veuillez consulter Clés de contexte de condition globale AWS dans le Manuel de l'utilisateur IAM.

  • Actuellement, l'authentification de base de données IAM n'est pas prise en charge pour les CName.

Recommandations MySQL pour l'authentification de base de données IAM

Nous recommandons les pratiques suivantes lors de l'utilisation du moteur MySQL de base de données :

  • Utilisez l'authentification de base de données IAM comme mécanisme pour l'accès personnel temporaire aux bases de données.

  • Utilisez l'authentification de base de données IAM pour les charges de travail pouvant facilement être relancées uniquement.

  • Utilisez l'authentification de base de données IAM si votre application exige moins de 200 nouvelles connexions d'authentification de base de données IAM par seconde.

    Les moteurs de base de données qui fonctionnent avec Amazon RDS n'imposent pas de limites de tentatives d'authentification par seconde. Néanmoins, lorsque vous utilisez l'authentification de base de données IAM, votre application doit générer un jeton d'authentification. Votre application emploie ensuite ce jeton pour la connexion au de l'instance de base de données. Si vous dépassez la limite maximale de nouvelles connexions par seconde, le traitement supplémentaire d'authentification de base de données IAM peut entraîner une limitation de la connexion. Il peut même provoquer l'abandon de connexions existantes. Pour de plus amples informations sur le nombre total maximal de connexions pour MySQL, veuillez consulter Maximum de connexions MySQL et MariaDB.