Authentification de base de données avec RDSAmazon - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification de base de données avec RDSAmazon

Amazon RDS Amazon prend en charge plusieurs méthodes pour authentifier les utilisateurs de bases de données.

L'authentification par mot de passe, Kerberos et IAM base de données utilise différentes méthodes d'authentification auprès de la base de données. Par conséquent, un utilisateur spécifique peut se connecter à une base de données en utilisant une seule méthode d'authentification.

Pour PostgreSQL, utilisez uniquement l'un des paramètres de rôle suivants pour un utilisateur d'une base de données spécifique :

  • Pour utiliser l'authentification IAM de base de données, attribuez le rds_iam rôle à l'utilisateur.

  • Pour utiliser l'authentification Kerberos, affectez le rôle rds_ad à l'utilisateur.

  • Pour utiliser l'authentification par mot de passe, n'affectez pas les rôles rds_iam ou rds_ad à l'utilisateur.

N'attribuez pas à la fois les rds_ad rôles rds_iam et à un utilisateur d'une SQL base de données Postgre, directement ou indirectement par le biais d'autorisations d'accès imbriquées. Si le rds_iam rôle est ajouté à l'utilisateur principal, l'IAMauthentification a priorité sur l'authentification par mot de passe. L'utilisateur principal doit donc se connecter en tant qu'IAMutilisateur.

Important

Nous vous recommandons vivement de ne pas avoir recours au rôle d'utilisateur principal directement dans vos applications. Au lieu de cela, respectez la bonne pratique qui consiste à avoir recours à un utilisateur de base de données doté des privilèges minimum requis pour votre application.

Authentification par mot de passe

Avec l'authentification par mot de passe, votre base de données se charge de toute l'administration des comptes utilisateurs. Vous créez des utilisateurs avec SQL des instructions telles queCREATE USER, avec la clause appropriée requise par le moteur de base de données pour spécifier les mots de passe. Par exemple, dans My, SQL la déclaration est CREATE USER name IDENTIFIED BY password, alors que dans PostgreSQL, la déclaration est CREATE USER name WITH PASSWORD password.

Avec l'authentification par mot de passe, votre base de données contrôle et authentifie les comptes d'utilisateurs. Si un moteur de base de données dispose de fonctionnalités de gestion de mot de passe solides, il peut améliorer la sécurité. L'authentification de base de données peut être plus facile à administrer en utilisant l'authentification par mot de passe lorsque vous avez de petites communautés d'utilisateurs. Étant donné que des mots de passe en texte clair sont générés dans ce cas, leur intégration AWS Secrets Manager peut améliorer la sécurité.

Pour plus d'informations sur l'utilisation de Secrets Manager avec RDSAmazon , consultez les sections Création d'un secret de base et Rotation de secrets pour les RDS bases de données Amazon prises en charge dans le Guide de AWS Secrets Manager l'utilisateur. Pour plus d'informations sur la récupération par programme de vos secrets dans vos applications personnalisées, consultez Récupération de la valeur de secret dans le Guide de l'utilisateur AWS Secrets Manager .

Authentification de base de données IAM

Vous pouvez vous authentifier auprès de votre d'instances de base de données à l'aide de l'authentification de base de données AWS Identity and Access Management (IAM). Grâce à cette méthode d'authentification, vous n'avez plus besoin de mot de passe pour vous connecter à une instance de base de données. En revanche, un jeton d'authentification est nécessaire.

Pour plus d'informations sur l'authentification IAM de base de données, notamment sur la disponibilité de moteurs de base de données spécifiques, consultezAuthentification de base de données IAM pour MariaDB, MySQL et PostgreSQL.

Authentification Kerberos

prend en charge l'authentification externe des utilisateurs de bases de données à l'aide de Kerberos et de Microsoft Active Directory. Kerberos est un protocole d'authentification réseau qui utilise les tickets et la cryptographie de clé symétrique pour vous éviter d'acheminer vos mots de passe via le réseau. Intégré dans Active Directory, Kerberos est conçu pour authentifier les utilisateurs sur les ressources réseau, par exemple les bases de données.

Le RDS support d'Amazon pour Kerberos et Active Directory offre les avantages de l'authentification unique et de l'authentification centralisée des utilisateurs de bases de données. Vous pouvez conserver vos informations d'identification utilisateur dans Active Directory. Active Directory vous offre un endroit centralisé de stockage et de gestion des informations d'identification pour plusieurs instances de base de données.

Vous pouvez permettre à vos utilisateurs de bases de données de s'authentifier auprès des instances de bases de données de deux façons. Ils peuvent utiliser les informations d'identification stockées dans AWS Directory Service for Microsoft Active Directory ou dans votre Active Directory local.

RDSpour Postgre SQL ne prend pas en charge le type d'authentification sélective dans Forest Trust, mais uniquement l'authentification à l'échelle de la forêt.

Les SQL instances de base de données Microsoft SQL Server et Postgre prennent en charge les relations de confiance unidirectionnelles et bidirectionnelles en matière de forêt. Les instances de base de données Oracle prennent en charge les relations d'approbation de forêt et les relations d'approbation externes unidirectionnelles et bidirectionnelles. Pour plus d'informations, veuillez consulter Quand créer une relation d'approbation dans le Guide d'administration AWS Directory Service .

Pour plus d'informations sur l'authentification Kerberos avec un moteur de base de données spécifique, veuillez consulter les sections suivantes :

Note

Actuellement, l'authentification Kerberos n'est pas prise en charge pour les instances de base de données MariaDB.