Creazione di un account database tramite l'autenticazione IAM - Amazon Aurora
Utilizzo dell'autenticazione IAM con Aurora MySQLUtilizzo dell'autenticazione IAM con Aurora PostgreSQL

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di un account database tramite l'autenticazione IAM

Con l'autenticazione database IAM, non devi assegnare password di database agli account utente che crei. Se rimuovi un utente mappato a un account database, devi anche rimuovere l'account database con l'istruzione DROP USER.

Nota

Il nome utente utilizzato per l'autenticazione IAM deve avere lo stesso formato maiuscolo/minuscolo del nome utente nel database.

Utilizzo dell'autenticazione IAM con Aurora MySQL

Con Aurora MySQL, l'autenticazione viene gestita da AWSAuthenticationPlugin, un plug-in fornito da AWS che funziona perfettamente con IAM per autenticare gli utenti. Connettiti al cluster database come utente master o altro utente che può creare utenti e concedere privilegi. Dopo la connessione, immetti l'istruzione CREATE USER, come mostrato nell'esempio seguente.

CREATE USER jane_doe IDENTIFIED WITH AWSAuthenticationPlugin AS 'RDS';

La clausola IDENTIFIED WITH permette a Aurora MySQL di utilizzare AWSAuthenticationPlugin per autenticare l'account database (jane_doe). La clausola AS 'RDS' fa riferimento al metodo di autenticazione. Assicurarsi che il nome utente del database specificato sia lo stesso di una risorsa nella policy IAM per l'accesso al database IAM. Per ulteriori informazioni, consulta Creazione e utilizzo di una policy IAM per l'accesso al database IAM.

Nota

Se viene visualizzato il messaggio seguente, significa che il plug-in fornito da AWS non è disponibile per il cluster di database corrente.

ERROR 1524 (HY000): Plugin 'AWSAuthenticationPlugin' is not loaded

Per correggere questo errore, assicurati di usare una configurazione supportata e di aver abilitato l'autenticazione database IAM nel cluster database. Per ulteriori informazioni, consulta Disponibilità di regioni e versioni e Abilitazione e disabilitazione dell'autenticazione database IAM.

Dopo aver creato un account utilizzando AWSAuthenticationPlugin, lo gestisci nello stesso modo di altri account database. Ad esempio, puoi modificare i privilegi di account con le istruzioni GRANT e REVOKE o modificare vari attributi di account con l'istruzione ALTER USER.

Il traffico di rete del database viene crittografato utilizzando SSL/TLS quando si utilizza IAM. Per consentire le connessioni SSL, modifica l'account utente con il comando seguente.

ALTER USER 'jane_doe'@'%' REQUIRE SSL;

Utilizzo dell'autenticazione IAM con Aurora PostgreSQL

Per utilizzare l'autenticazione IAM con Aurora PostgreSQL, connettiti al cluster database come utente master o altro utente che può creare utenti e concedere privilegi. Dopo la connessione, crea gli utenti di database e autorizza il ruolo rds_iam, come mostrato nell'esempio seguente.

CREATE USER db_userx; 
GRANT rds_iam TO db_userx;

Assicurarsi che il nome utente del database specificato sia lo stesso di una risorsa nella policy IAM per l'accesso al database IAM. Per ulteriori informazioni, consulta Creazione e utilizzo di una policy IAM per l'accesso al database IAM.

Tieni presente che un utente del database PostgreSQL può utilizzare l'autenticazione IAM o Kerberos ma non entrambe, quindi questo utente non può avere anche il ruolo rds_ad. Questo vale anche per le appartenenze nidificate. Per ulteriori informazioni, consulta Fase 7: creazione di utenti PostgreSQL per i principali Kerberos .