Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Authentification de base de données avec Amazon Aurora
Aurora prend en charge plusieurs méthodes pour authentifier les utilisateurs de bases de données.
L'authentification par mot de passe est disponible par défaut pour tous les clusters de bases de données. Pour Aurora My SQL et Aurora PostgreSQL, vous pouvez également ajouter l'authentification de IAM base de données ou l'authentification Kerberos, ou les deux, pour le même cluster de bases de données.
L'authentification par mot de passe, Kerberos et IAM base de données utilise différentes méthodes d'authentification auprès de la base de données. Par conséquent, un utilisateur spécifique peut se connecter à une base de données en utilisant une seule méthode d'authentification.
Pour PostgreSQL, utilisez uniquement l'un des paramètres de rôle suivants pour un utilisateur d'une base de données spécifique :
-
Pour utiliser l'authentification IAM de base de données, attribuez le
rds_iamrôle à l'utilisateur. -
Pour utiliser l'authentification Kerberos, affectez le rôle
rds_adà l'utilisateur. -
Pour utiliser l'authentification par mot de passe, n'affectez pas les rôles
rds_iamourds_adà l'utilisateur.
N'attribuez pas à la fois les rds_ad rôles rds_iam et à un utilisateur d'une SQL base de données Postgre, directement ou indirectement par le biais d'autorisations d'accès imbriquées. Si le rds_iam rôle est ajouté à l'utilisateur principal, l'IAMauthentification a priorité sur l'authentification par mot de passe. L'utilisateur principal doit donc se connecter en tant qu'IAMutilisateur.
Important
Nous vous recommandons vivement de ne pas avoir recours au rôle d'utilisateur principal directement dans vos applications. Au lieu de cela, respectez la bonne pratique qui consiste à avoir recours à un utilisateur de base de données doté des privilèges minimum requis pour votre application.
Rubriques
Authentification par mot de passe
Avec l'authentification par mot de passe, votre base de données se charge de toute l'administration des comptes utilisateurs. Vous créez des utilisateurs avec SQL des instructions telles queCREATE USER, avec la clause appropriée requise par le moteur de base de données pour spécifier les mots de passe. Par exemple, dans My, SQL la déclaration est CREATE
USER name
IDENTIFIED BY
password, alors que dans PostgreSQL, la déclaration est CREATE USER name
WITH PASSWORD
password.
Avec l'authentification par mot de passe, votre base de données contrôle et authentifie les comptes d'utilisateurs. Si un moteur de base de données dispose de fonctionnalités de gestion de mot de passe solides, il peut améliorer la sécurité. L'authentification de base de données peut être plus facile à administrer en utilisant l'authentification par mot de passe lorsque vous avez de petites communautés d'utilisateurs. Étant donné que des mots de passe en texte clair sont générés dans ce cas, ils s'intègrent à AWS Secrets Manager peut améliorer la sécurité.
Pour plus d'informations sur l'utilisation de Secrets Manager avec Aurora, consultez les sections Création d'un secret de base et Rotation des secrets pour les RDS bases de données Amazon prises en charge dans le AWS Secrets Manager Guide de l'utilisateur. Pour plus d'informations sur la récupération programmatique de vos secrets dans vos applications personnalisées, consultez la section Récupération de la valeur secrète dans AWS Secrets Manager Guide de l'utilisateur.
Authentification de base de données IAM
Vous pouvez vous authentifier auprès de votre cluster d' de base de données à l'aide de AWS Identity and Access Management (IAM) authentification de base de données. Grâce à cette méthode d'authentification, vous n'avez plus besoin de mot de passe pour vous connecter à un cluster de base de données. En revanche, un jeton d'authentification est nécessaire.
Pour plus d'informations sur l'authentification IAM de base de données, notamment sur la disponibilité de moteurs de base de données spécifiques, consultezAuthentification de base de données IAM.
Authentification Kerberos
Amazon Aurora prend en charge l'authentification externe des utilisateurs de bases de données à l'aide de Kerberos et de Microsoft Active Directory. Kerberos est un protocole d'authentification réseau qui utilise les tickets et la cryptographie de clé symétrique pour vous éviter d'acheminer vos mots de passe via le réseau. Intégré dans Active Directory, Kerberos est conçu pour authentifier les utilisateurs sur les ressources réseau, par exemple les bases de données.
Amazon Aurora Le RDS support pour Kerberos et Active Directory offre les avantages de l'authentification unique et de l'authentification centralisée des utilisateurs de bases de données. Vous pouvez conserver vos informations d'identification utilisateur dans Active Directory. Active Directory vous offre un endroit centralisé de stockage et de gestion des informations d'identification pour plusieurs clusters de base de données.
Pour utiliser les informations d'identification issues de votre Active Directory autogéré, vous devez établir une relation de confiance avec AWS Directory Service pour Microsoft Active Directory auquel le cluster de base de données d' de base de données est joint.
soutiennent les relations de confiance unidirectionnelles et bidirectionnelles en forêt avec une authentification à l'échelle de la forêt ou une authentification sélective.
Dans certains scénarios, vous pouvez configurer l'authentification Kerberos via une relation de confiance externe. Cela nécessite que votre Active Directory autogéré dispose de paramètres supplémentaires. Cela inclut, mais sans s'y limiter, l'ordre de recherche des forêts Kerberos
Aurora prend en charge l'authentification Kerberos pour les clusters de bases de données SQL Aurora My et Aurora PostgreSQL. Pour plus d’informations, consultez Utilisation de l'authentification Kerberos pour Aurora MySQL et Utilisation de l'authentification Kerberos avec Aurora PostgreSQL.
