Authentification de base de données avec Amazon RDS - Amazon Relational Database Service

Authentification de base de données avec Amazon RDS

Amazon RDS prend en charge plusieurs façons d'authentifier les utilisateurs de base de données.

L'authentification par mot de passe, Kerberos et IAM utilisent différentes méthodes d'authentification auprès de la base de données. Par conséquent, un utilisateur spécifique peut se connecter à une base de données en utilisant une seule méthode d'authentification.

Pour PostgreSQL, utilisez un seul des paramètres de rôle suivants pour un utilisateur d'une base de données spécifique :

  • Pour utiliser l'authentification de base de données IAM, affectez le rôle rds_iam à l'utilisateur.

  • Pour utiliser l'authentification Kerberos, affectez le rôle rds_ad à l'utilisateur.

  • Pour utiliser l'authentification par mot de passe, n'affectez pas les rôles rds_iam ou rds_ad à l'utilisateur.

N'affectez pas à la fois les rôles rds_iam et rds_ad à un utilisateur d'une base de données PostgreSQL, directement ou indirectement par l'intermédiaire d'un accès accordé imbriqué. Si le rôle rds_iam est ajouté à l'utilisateur principal, l'authentification IAM a priorité sur l'authentification par mot de passe, de sorte que l'utilisateur principal doit se connecter en tant qu'utilisateur IAM.

Authentification par mot de passe

Avec l'authentification par mot de passe, votre instance de base de données effectue toute l'administration des comptes d'utilisateurs. Vous créez des utilisateurs avec des instructions SQL telles que CREATE USER et spécifiez des mots de passe dans la clause IDENTIFIED BY.

Tous les moteurs de base de données RDS supportent l'authentification par mot de passe. Pour de plus amples informations sur l'authentification par mot de passe, consultez la documentation de votre moteur de base de données.

Avec l'authentification par mot de passe, votre base de données contrôle et authentifie les comptes d'utilisateurs. Si un moteur de base de données dispose de fonctionnalités de gestion de mot de passe solides, il peut améliorer la sécurité. L'authentification de base de données peut être plus facile à administrer en utilisant l'authentification par mot de passe lorsque vous avez de petites communautés d'utilisateurs. Étant donné que des mots de passe en texte clair sont générés dans ce cas, l'intégration avec AWS Secrets Manager peut améliorer la sécurité.

Pour de plus amples informations sur l'utilisation de Secrets Manager avec Amazon RDS, veuillez consulterr Création d'un secret de base et Rotation de secrets pour les Amazon RDS bases de données prises en charge dans le Guide de l'utilisateur AWS Secrets Manager. Pour plus d'informations sur la récupération par programme de vos secrets dans vos applications personnalisées, consultez Récupération de la valeur secrète dans le Guide de l'utilisateur AWS Secrets Manager.

Authentification de base de données IAM

Vous pouvez vous authentifier auprès du de votre instance de base de données à l'aide de l'authentification de base de données AWS Identity and Access Management (IAM). L'authentification de base de données IAM fonctionne avec MySQL et PostgreSQL. Grâce à cette méthode d'authentification, vous n'avez plus besoin de mot de passe pour vous connecter au d'une instance de base de données. En revanche, un jeton d'authentification est nécessaire.

Pour de plus amples informations sur l'authentification de base de données IAM, y compris sur la disponibilité de moteurs DB spécifiques, veuillez consulter Authentification de base de données IAM pour MySQL et PostgreSQL.

Authentification Kerberos

Amazon RDS prend en charge l'authentification externe des utilisateurs de bases de données avec Kerberos et Microsoft Active Directory. Kerberos est un protocole d'authentification réseau qui utilise les tickets et la cryptographie de clé symétrique pour vous éviter d’acheminer vos mots de passe via le réseau. Intégré dans Active Directory, Kerberos est conçu pour authentifier les utilisateurs sur les ressources réseau, par exemple les bases de données.

La prise en charge de Kerberos et Active Directory par Amazon RDS procure les avantages d'une authentification unique et centralisée des utilisateurs de bases de données. Vous pouvez conserver vos informations d'identification utilisateur dans Active Directory. Active Directory vous offre un endroit centralisé de stockage et de gestion des informations d'identification pour plusieurs instances de base de données.

Vous pouvez permettre à vos utilisateurs de bases de données de s'authentifier auprès des instances de bases de données de deux façons. Ils peuvent utiliser les informations d'identification stockées dans AWS Directory Service for Microsoft Active Directory ou dans votre Active Directory sur site.

Les instances de base de données Microsoft SQL Server, MySQL et PostgreSQL prennent en charge les relations d'approbation de forêt unidirectionnelles et bidirectionnelles. Les instances de base de données Oracle prennent en charge les relations d'approbation de forêt et les relations d'approbation externes unidirectionnelles et bidirectionnelles. Pour de plus amples informations, veuillez consulter Quand créer une relation d'approbation dans le Guide d'administration AWS Directory Service.

Pour de plus amples informations sur l'authentification Kerberos avec un moteur de base de données spécifique, veuillez consulter les sections suivantes :

Note

Actuellement, l'authentification Kerberos n'est pas prise en charge pour les instances de base de données MariaDB.