Utilisation des rôles de base de données et de l'authentification IAM - Amazon Aurora DSQL
Rôles IAMUtilisateurs IAMConnexionRequête Afficher les mappagesRévoquer

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des rôles de base de données et de l'authentification IAM

Aurora DSQL prend en charge l'authentification à l'aide des rôles IAM et des utilisateurs IAM. Vous pouvez utiliser l'une ou l'autre méthode pour authentifier et accéder aux bases de données Aurora DSQL.

Rôles IAM

Un rôle IAM est une identité au sein de vous Compte AWS qui possède des autorisations spécifiques mais qui n'est pas associée à une personne spécifique. L'utilisation des rôles IAM fournit des informations d'identification de sécurité temporaires. Vous pouvez assumer temporairement un rôle IAM de plusieurs manières :

  • En changeant de rôle dans AWS Management Console

  • En appelant une opération d' AWS API AWS CLI or

  • En utilisant une URL personnalisée

Après avoir assumé un rôle, vous pouvez accéder à Aurora DSQL à l'aide des informations d'identification temporaires du rôle. Pour plus d'informations sur les méthodes d'utilisation des rôles, consultez la section Identités IAM dans le guide de l'utilisateur IAM.

Utilisateurs IAM

Un utilisateur IAM est une identité au sein de vous Compte AWS qui possède des autorisations spécifiques et qui est associée à une seule personne ou à une seule application. Les utilisateurs IAM disposent d'informations d'identification à long terme, telles que des mots de passe et des clés d'accès, qui peuvent être utilisées pour accéder à Aurora DSQL.

Note

Pour exécuter des commandes SQL avec l'authentification IAM, vous pouvez utiliser le rôle IAM ARNs ou l'utilisateur IAM ARNs dans les exemples ci-dessous.

Autoriser les rôles de base de données à se connecter à votre cluster

Créez un rôle IAM et accordez l'autorisation de connexion avec l'action de politique IAM :. dsql:DbConnect

La politique IAM doit également accorder l'autorisation d'accéder aux ressources du cluster. Utilisez un caractère générique (*) ou suivez les instructions de la section Utilisation des clés de condition IAM avec Amazon Aurora DSQL.

Autoriser les rôles de base de données à utiliser SQL dans votre base de données

Vous devez utiliser un rôle IAM autorisé pour vous connecter à votre cluster.

  1. Connectez-vous à votre cluster Aurora DSQL à l'aide d'un utilitaire SQL.

    Utilisez le rôle admin de base de données avec une identité IAM autorisée à effectuer une action IAM afin de vous connecter dsql:DbConnectAdmin à votre cluster.

  2. Créez un nouveau rôle de base de données, en veillant à spécifier l'WITH LOGINoption.

    CREATE ROLE example WITH LOGIN;

  3. Associez le rôle de base de données à l'ARN du rôle IAM.

    AWS IAM GRANT example TO 'arn:aws:iam::012345678912:role/example';

  4. Accorder des autorisations au niveau de la base de données au rôle de base de données

    Les exemples suivants utilisent la GRANT commande pour fournir une autorisation au sein de la base de données.

    GRANT USAGE ON SCHEMA myschema TO example;
GRANT SELECT, INSERT, UPDATE ON ALL TABLES IN SCHEMA myschema TO example;

Pour plus d'informations, consultez la section Privilèges de PostgreSQL et de GRANT PostgreSQL dans la documentation de PostgreSQL.

Affichage des mappages de rôles entre IAM et base de données

Pour afficher les mappages entre les rôles IAM et les rôles de base de données, interrogez la table sys.iam_pg_role_mappings système.

SELECT * FROM sys.iam_pg_role_mappings;

Exemple de sortie :

 iam_oid |                  arn                   | pg_role_oid | pg_role_name | grantor_pg_role_oid | grantor_pg_role_name
---------+----------------------------------------+-------------+--------------+---------------------+----------------------
   26398 | arn:aws:iam::012345678912:role/example |       26396 | example      |               15579 | admin
(1 row)

Ce tableau présente tous les mappages entre les rôles IAM (identifiés par leur ARN) et les rôles de base de données PostgreSQL.

Révocation de l'autorisation de base de données associée à un rôle IAM

Pour révoquer l'autorisation de base de données, utilisez l'AWS IAM REVOKEopération.

AWS IAM REVOKE example FROM 'arn:aws:iam::012345678912:role/example';

Pour en savoir plus sur la révocation de l'autorisation, consultezRévocation d'une autorisation à l'aide d'IAM et de PostgreSQL.