Amazon Relational Database Service
Guide de l'utilisateur (Version de l'API 2014-10-31)

Authentification de base de données IAM pour MySQL et PostgreSQL

Vous pouvez vous authentifier auprès du de votre instance de base de données à l'aide de l'authentification de base de données AWS Identity and Access Management (IAM). L'authentification de base de données IAM fonctionne avec MySQL et PostgreSQL. Grâce à cette méthode d'authentification, vous n'avez plus besoin de mot de passe pour vous connecter au d'une instance de base de données. En revanche, un jeton d'authentification est nécessaire.

Un jeton d'authentification est une chaîne de caractères unique générée par Amazon RDS sur demande. Les jetons d'authentification sont générés au moyen d'AWS Signature Version 4. Chaque jeton a une durée de vie de 15 minutes. Il n'est pas nécessaire de stocker des informations d'identification utilisateur dans la base de données, car l'authentification est gérée de manière externe avec IAM. Vous pouvez aussi toujours utiliser l'authentification de base de données standard.

L'authentification de base de données IAM offre les avantages suivants :

  • Le trafic réseau à destination et en provenance de la base de données est chiffré au moyen du protocole SSL.

  • Vous pouvez utiliser IAM pour gérer de façon centralisée l'accès à vos ressources de base de données, au lieu de gérer l'accès de manière individuelle sur chaque instance ou de bases de données.

  • Pour les applications exécutées sur Amazon EC2, vous pouvez utiliser des informations d'identification spécifiques à votre instance EC2 pou accéder à la base de données, ce qui garantit une meilleure sécurité qu'un mot de passe.

Disponibilité de l'authentification de base de données IAM

L'authentification de base de données IAM est disponible pour les classes d'instance et les moteurs de base de données suivants :

  • MySQL 5.6, version mineure 5.6.34 ou version ultérieure. Toutes les classes d'instances sont prises en charge, à l'exception de db.m1.small.

  • MySQL 5.7, version mineure 5.7.16 ou version ultérieure. Toutes les classes d'instances sont prises en charge, à l'exception de db.m1.small.

  • PostgreSQL version 10.6 ou versions ultérieures, 9.6.11 ou version ultérieure et 9.5.15 ou version ultérieure.

Note

L'authentification de base de données IAM n'est pas prise en charge pour MySQL 5.5 ou MySQL 8.0.

Limites de MySQL pour l'authentification de base de données IAM

Lorsque vous utilisez l'authentification de base de données IAM avec MySQL, vous êtes limité à un maximum de 256 nouvelles connexions par seconde. Si vous utilisez une classe d'instance db.t2.micro, la limite est de 10 connexions par seconde.

Les moteurs de bases de données qui fonctionnent avec Amazon RDS n'imposent pas de limites de tentatives d'authentification par seconde. Néanmoins, lorsque vous utilisez l'authentification de base de données IAM, votre application doit générer un jeton d'authentification. Votre application emploie ensuite ce jeton pour la connexion au de l'instance de base de données. Si vous dépassez la limite maximale de nouvelles connexions par seconde, le traitement supplémentaire d'authentification de base de données IAM peut entraîner une limitation de la connexion. Il peut même provoquer l'abandon de connexions existantes. Pour de plus amples informations sur le nombre total maximal de connexions pour MySQL, veuillez consulter Connexions MySQL maximum.

Nous recommandons les pratiques suivantes lors de l'utilisation du moteur MySQL :

  • Utilisez l'authentification de base de données IAM comme mécanisme pour l'accès personnel temporaire aux bases de données.

  • Utilisez l'authentification de base de données IAM pour les charges de travail pouvant facilement être relancées uniquement.

  • N'utilisez pas l'authentification de base de données IAM si votre application exige plus de 256 nouvelles connexions par seconde.

Limites de PostgreSQL pour l'authentification de base de données IAM

La limitation suivante s'applique lors de l'utilisation de l'authentification de base de données IAM avec PostgreSQL :

  • Le nombre maximal de connexions par seconde à votre instance de base de données peut être limité en fonction du type d'instance et de votre charge de travail.