使用 IAM 身分驗證建立資料庫帳戶

採用 IAM 資料庫身分驗證時，不需要指派資料庫密碼給您所建立的使用者帳戶。如果您移除已映射至資料庫帳戶的使用者，則應該使用 DROP USER 陳述式來一併移除該資料庫帳戶。

注意

用於 IAM 身分驗證的使用者名稱必須與資料庫中的使用者名稱大小寫相符。

搭配 IAM 身分驗證使用 Aurora MySQL

使用 Aurora MySQL，身份驗證由 AWSAuthenticationPlugin — AWS提供的插件進行處理，該插件可與 IAM 無縫協作以驗證您的用戶。以主要使用者身分或可以建立使用者並授予權限的不同使用者身分連線至資料庫叢集。連線後，發出 CREATE USER 陳述式，如下列範例所示。

CREATE USER 'jane_doe' IDENTIFIED WITH AWSAuthenticationPlugin AS 'RDS'; 
            

IDENTIFIED WITH 子句可讓 Aurora MySQL 使用 AWSAuthenticationPlugin 來驗證資料庫帳戶 (jane_doe)。AS 'RDS' 子句指的是身分驗證方法。確定指定的資料庫使用者名稱與 IAM 資料庫存取的 IAM 政策中的資源相同。如需詳細資訊，請參閱 建立並使用 IAM 政策進行 IAM 資料庫存取。

注意

如果您看到下列訊息，表示目前的資料庫叢集無法使用 AWS-提供的外掛程式。

ERROR 1524 (HY000): Plugin 'AWSAuthenticationPlugin' is not loaded

若要對此錯誤進行故障診斷，請確認您使用支援的組態，且已在資料庫叢集上啟用 IAM 資料庫身分驗證。如需更多詳細資訊，請參閱 區域和版本可用性 及 啟用和停用 IAM 資料庫身分驗證。

使用 AWSAuthenticationPlugin 建立帳戶之後，管理此帳戶的方式就像管理其他資料庫帳戶一樣。例如，您可以使用 GRANT 和 REVOKE 陳述式來修改帳戶權限，或使用 ALTER USER 陳述式來修改各種帳戶屬性。

使用 IAM 時，資料庫網路流量會使用 SSL/TLS 加密。若要允許 SSL 連線，請透過下列命令修改使用者帳戶。

ALTER USER 'jane_doe'@'%' REQUIRE SSL;     

將 IAM 身分驗證搭配 Aurora PostgreSQL 使用

若要搭配 Aurora PostgreSQL 使用 IAM 身分驗證，請以主要使用者身分或可以建立使用者並授予權限的不同使用者身分連線至資料庫叢集。連線後，請建立資料庫使用者，然後將 rds_iam 角色授予他們，如下列範例所示。

CREATE USER db_userx; 
GRANT rds_iam TO db_userx;

確定指定的資料庫使用者名稱與 IAM 資料庫存取的 IAM 政策中的資源相同。如需詳細資訊，請參閱 建立並使用 IAM 政策進行 IAM 資料庫存取。您必須授與該rds_iam角色才能使用 IAM 身份驗證。您也可以使用巢狀成員資格或間接授權的角色。

請注意，PostgreSQL 資料庫使用者可以使用 IAM 或 Kerberos 身分驗證，但不能同時使用兩者，所以該使用者也不能使用 rds_ad 角色。這也適用於巢狀成員資格。如需更多詳細資訊，請參閱 步驟 7：針對您的 Kerberos 主體建立 PostgreSQL 使用者 。