Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Authentification de base de données avec RDSAmazon
Amazon RDS Amazon prend en charge plusieurs méthodes pour authentifier les utilisateurs de bases de données.
L'authentification par mot de passe, Kerberos et IAM base de données utilise différentes méthodes d'authentification auprès de la base de données. Par conséquent, un utilisateur spécifique peut se connecter à une base de données en utilisant une seule méthode d'authentification.
Pour PostgreSQL, utilisez uniquement l'un des paramètres de rôle suivants pour un utilisateur d'une base de données spécifique :
-
Pour utiliser l'authentification IAM de base de données, attribuez le
rds_iamrôle à l'utilisateur. -
Pour utiliser l'authentification Kerberos, affectez le rôle
rds_adà l'utilisateur. -
Pour utiliser l'authentification par mot de passe, n'affectez pas les rôles
rds_iamourds_adà l'utilisateur.
N'attribuez pas à la fois les rds_ad rôles rds_iam et à un utilisateur d'une SQL base de données Postgre, directement ou indirectement par le biais d'autorisations d'accès imbriquées. Si le rds_iam rôle est ajouté à l'utilisateur principal, l'IAMauthentification a priorité sur l'authentification par mot de passe. L'utilisateur principal doit donc se connecter en tant qu'IAMutilisateur.
Important
Nous vous recommandons vivement de ne pas avoir recours au rôle d'utilisateur principal directement dans vos applications. Au lieu de cela, respectez la bonne pratique qui consiste à avoir recours à un utilisateur de base de données doté des privilèges minimum requis pour votre application.
Rubriques
Authentification par mot de passe
Avec l'authentification par mot de passe, votre base de données se charge de toute l'administration des comptes utilisateurs. Vous créez des utilisateurs avec SQL des instructions telles queCREATE USER, avec la clause appropriée requise par le moteur de base de données pour spécifier les mots de passe. Par exemple, dans My, SQL la déclaration est CREATE
USER name
IDENTIFIED BY
password, alors que dans PostgreSQL, la déclaration est CREATE USER name
WITH PASSWORD
password.
Avec l'authentification par mot de passe, votre base de données contrôle et authentifie les comptes d'utilisateurs. Si un moteur de base de données dispose de fonctionnalités de gestion de mot de passe solides, il peut améliorer la sécurité. L'authentification de base de données peut être plus facile à administrer en utilisant l'authentification par mot de passe lorsque vous avez de petites communautés d'utilisateurs. Étant donné que des mots de passe en texte clair sont générés dans ce cas, ils s'intègrent à AWS Secrets Manager peut améliorer la sécurité.
Pour plus d'informations sur l'utilisation de Secrets Manager avec RDSAmazon , consultez les sections Création d'un secret de base et Rotation des secrets pour les RDS bases de données Amazon prises en charge dans le AWS Secrets Manager Guide de l'utilisateur. Pour plus d'informations sur la récupération programmatique de vos secrets dans vos applications personnalisées, consultez la section Récupération de la valeur secrète dans AWS Secrets Manager Guide de l'utilisateur.
Authentification de base de données IAM
Vous pouvez vous authentifier auprès de votre d'instances de base de données à l'aide de AWS Identity and Access Management (IAM) authentification de base de données. Grâce à cette méthode d'authentification, vous n'avez plus besoin de mot de passe pour vous connecter à une instance de base de données. En revanche, un jeton d'authentification est nécessaire.
Pour plus d'informations sur l'authentification IAM de base de données, notamment sur la disponibilité de moteurs de base de données spécifiques, consultezAuthentification de base de données IAM pour MariaDB, MySQL et PostgreSQL.
Authentification Kerberos
prend en charge l'authentification externe des utilisateurs de bases de données à l'aide de Kerberos et de Microsoft Active Directory. Kerberos est un protocole d'authentification réseau qui utilise les tickets et la cryptographie de clé symétrique pour vous éviter d'acheminer vos mots de passe via le réseau. Intégré dans Active Directory, Kerberos est conçu pour authentifier les utilisateurs sur les ressources réseau, par exemple les bases de données.
Le RDS support d'Amazon pour Kerberos et Active Directory offre les avantages de l'authentification unique et de l'authentification centralisée des utilisateurs de bases de données. Vous pouvez conserver vos informations d'identification utilisateur dans Active Directory. Active Directory vous offre un endroit centralisé de stockage et de gestion des informations d'identification pour plusieurs instances de base de données.
Pour utiliser les informations d'identification issues de votre Active Directory autogéré, vous devez établir une relation de confiance avec AWS Directory Service pour Microsoft Active Directory auquel le de base de données est joint.
RDSpour Postgre SQL et RDS pour My SQL soutiennent les relations de confiance unidirectionnelles et bidirectionnelles en forêt avec une authentification à l'échelle de la forêt ou une authentification sélective.
Dans certains scénarios, vous pouvez configurer l'authentification Kerberos via une relation de confiance externe. Cela nécessite que votre Active Directory autogéré dispose de paramètres supplémentaires. Cela inclut, mais sans s'y limiter, l'ordre de recherche des forêts Kerberos
Les SQL instances de base de données Microsoft SQL Server et Postgre prennent en charge les relations de confiance unidirectionnelles et bidirectionnelles en matière de forêt. Les instances de base de données Oracle prennent en charge les relations de confiance externes et forestières unidirectionnelles et bidirectionnelles. Pour plus d'informations, voir Quand créer une relation de confiance dans le AWS Directory Service Guide d'administration.
Pour plus d'informations sur l'authentification Kerberos avec un moteur de base de données spécifique, veuillez consulter les sections suivantes :
Note
Actuellement, l'authentification Kerberos n'est pas prise en charge pour les instances de base de données MariaDB.
