Authentification de base de données avec Amazon RDS - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification de base de données avec Amazon RDS

Amazon RDS prend en charge plusieurs façons d'authentifier les utilisateurs de base de données.

L'authentification par mot de passe, Kerberos et IAM utilisent différentes méthodes d'authentification auprès de la base de données. Par conséquent, un utilisateur spécifique peut se connecter à une base de données en utilisant une seule méthode d'authentification.

Pour PostgreSQL, utilisez un seul des paramètres de rôle suivants pour un utilisateur d'une base de données spécifique :

  • Pour utiliser l'authentification de base de données IAM, affectez le rôle rds_iam à l'utilisateur.

  • Pour utiliser l'authentification Kerberos, affectez le rôle rds_ad à l'utilisateur.

  • Pour utiliser l'authentification par mot de passe, n'affectez pas les rôles rds_iam ou rds_ad à l'utilisateur.

N'affectez pas à la fois les rôles rds_iam et rds_ad à un utilisateur d'une base de données PostgreSQL, directement ou indirectement par l'intermédiaire d'un accès accordé imbriqué. Si le rôle rds_iam est ajouté à l'utilisateur principal, l'authentification IAM a priorité sur l'authentification par mot de passe, de sorte que l'utilisateur principal doit se connecter en tant qu'utilisateur IAM.

Important

Nous vous recommandons vivement de ne pas avoir recours au rôle d'utilisateur principal directement dans vos applications. Au lieu de cela, respectez la bonne pratique qui consiste à avoir recours à un utilisateur de base de données doté des privilèges minimum requis pour votre application.

Authentification par mot de passe

Avec l'authentification par mot de passe, votre base de données se charge de toute l'administration des comptes utilisateurs. Vous créez des utilisateurs avec des instructions SQL telles que CREATE USER, avec la clause appropriée requise par le moteur de base de données pour spécifier des mots de passe. Par exemple, dans MySQL, l'instruction est CREATE USER nom IDENTIFIED BY mot de passe, tandis que dans PostgreSQL, l'instruction est CREATE USER nom WITH PASSWORD mot de passe.

Avec l'authentification par mot de passe, votre base de données contrôle et authentifie les comptes d'utilisateurs. Si un moteur de base de données dispose de fonctionnalités de gestion de mot de passe solides, il peut améliorer la sécurité. L'authentification de base de données peut être plus facile à administrer en utilisant l'authentification par mot de passe lorsque vous avez de petites communautés d'utilisateurs. Étant donné que des mots de passe en texte clair sont générés dans ce cas, l'intégration avec AWS Secrets Manager peut améliorer la sécurité.

Pour plus d'informations sur l'utilisation de Secrets Manager avec Amazon RDS, veuillez consulter Création d'un secret de base et Rotation de secrets pour les bases de données Amazon RDS prises en charge dans le Guide de l'utilisateur d'AWS Secrets Manager. Pour plus d'informations sur la récupération par programme de vos secrets dans vos applications personnalisées, consultez Récupération de la valeur de secret dans le Guide de l'utilisateur AWS Secrets Manager.

Authentification de base de données IAM

Vous pouvez vous authentifier auprès de votre instance de base de données à l'aide de l'authentification de base de données AWS Identity and Access Management (IAM). L'authentification de base de données IAM fonctionne avec MySQL et PostgreSQL. Grâce à cette méthode d'authentification, vous n'avez plus besoin de mot de passe pour vous connecter au d'une instance de base de données. En revanche, un jeton d'authentification est nécessaire.

Pour plus d'informations sur l'authentification de base de données IAM, y compris sur la disponibilité de moteurs DB spécifiques, veuillez consulter Authentification de base de données IAM pour MariaDB, MySQL et PostgreSQL.

Authentification Kerberos

Amazon RDS prend en charge l'authentification externe des utilisateurs de bases de données avec Kerberos et Microsoft Active Directory. Kerberos est un protocole d'authentification réseau qui utilise les tickets et la cryptographie de clé symétrique pour vous éviter d'acheminer vos mots de passe via le réseau. Intégré dans Active Directory, Kerberos est conçu pour authentifier les utilisateurs sur les ressources réseau, par exemple les bases de données.

La prise en charge de Kerberos et Active Directory par Amazon RDS procure les avantages d'une authentification unique et centralisée des utilisateurs de bases de données. Vous pouvez conserver vos informations d'identification utilisateur dans Active Directory. Active Directory vous offre un endroit centralisé de stockage et de gestion des informations d'identification pour plusieurs instances de base de données.

Vous pouvez permettre à vos utilisateurs de bases de données de s'authentifier auprès des instances de bases de données de deux façons. Ils peuvent utiliser les informations d'identification stockées dans AWS Directory Service for Microsoft Active Directory ou dans votre Active Directory sur site.

Les instances de base de données Microsoft SQL Server et PostgreSQL prennent en charge les relations d'approbation de forêt unidirectionnelles et bidirectionnelles. Les instances de base de données Oracle prennent en charge les relations d'approbation de forêt et les relations d'approbation externes unidirectionnelles et bidirectionnelles. Pour plus d'informations, veuillez consulter Quand créer une relation d'approbation dans le Guide d'administration AWS Directory Service.

Pour plus d'informations sur l'authentification Kerberos avec un moteur de base de données spécifique, veuillez consulter les sections suivantes :

Note

Actuellement, l'authentification Kerberos n'est pas prise en charge pour les instances de base de données MariaDB.