Adicionar um novo usuário de banco de dados ao usar o RDS Proxy - Amazon Relational Database Service
Adicionar um novo usuário de banco de dados a um banco de dados do PostgreSQL ao usar o RDS ProxyAlterar senhas de banco de dados

Adicionar um novo usuário de banco de dados ao usar o RDS Proxy

Em alguns casos, é possível adicionar um novo usuário de banco de dados a uma instância de banco de dados do RDS ou um cluster com associação a um proxy. Prossiga dependendo se você estiver usando a autenticação padrão com segredos do Secrets Manager ou a autenticação de ponta a ponta do IAM.

Se você estiver usando a autenticação padrão do IAM, siga estas instruções:

  1. Crie um segredo do Secrets Manager usando o procedimento descrito em Configurar credenciais de banco de dados para RDS Proxy.

  2. Atualize o perfil do IAM para conceder ao proxy do RDS acesso ao novo segredo do Secrets Manager. Para fazer isso, atualize a seção de recursos da política de perfil do IAM.

  3. Modifique o RDS Proxy para adicionar o novo segredo do Secrets Manager em Segredos do Secrets Manager.

  4. Se o novo usuário tomar o lugar de um existente, atualize as credenciais armazenadas no segredo do Secrets Manager do proxy do usuário existente.

Se você estiver usando a autenticação de ponta a ponta do IAM, precisará criar o usuário do banco de dados e configurar as permissões do IAM. Para isso, siga estas etapas:

  1. Crie um usuário em seu banco de dados que corresponda ao nome de usuário ou perfil do IAM que você deseja usar para autenticação.

  2. O usuário do banco de dados deve estar configurado com o plug-in de autenticação do IAM no banco de dados. Consulte Criar uma conta de banco de dados usando autenticação do IAM.

  3. Atualize a política do IAM para conceder a permissão rds-db:connect ao usuário ou ao perfil do IAM, conforme descrito em Criar uma política do IAM para a autenticação de ponta a ponta do IAM.

  4. Seu proxy deve estar configurado para usar a autenticação do IAM como o esquema de autenticação padrão.

Com a autenticação de ponta a ponta do IAM, você não precisa gerenciar as credenciais do banco de dados nos segredos do Secrets Manager, pois as credenciais do IAM são usadas para autenticação do cliente para o proxy e do proxy para o banco de dados.

Adicionar um novo usuário de banco de dados a um banco de dados do PostgreSQL ao usar o RDS Proxy

Ao adicionar um novo usuário ao banco de dados do PostgreSQL, se você tiver executado o seguinte comando:

REVOKE CONNECT ON DATABASE postgres FROM PUBLIC;

Conceda ao usuário rdsproxyadmin o privilégio CONNECT para que ele possa monitorar as conexões no banco de dados de destino. 

GRANT CONNECT ON DATABASE postgres TO rdsproxyadmin;

Também é possível permitir que outros usuários do banco de dados de destino realizem verificações de integridade mudando rdsproxyadmin para o usuário do banco de dados no comando acima.

Alterar a senha de um usuário de banco de dados ao usar o RDS Proxy

Em alguns casos, você pode alterar a senha de um usuário de banco de dados em uma instância de banco de dados do RDS com associação a um proxy. Nesse caso, atualize o segredo do Secrets Manager correspondente com a nova senha.

Se você estiver usando a autenticação de ponta a ponta do IAM, não precisará atualizar nenhuma senha nos segredos do Secrets Manager.