Membuat akun basis data menggunakan autentikasi IAM - Amazon Aurora
Menggunakan autentikasi IAM dengan Aurora MySQLMenggunakan autentikasi IAM dengan Aurora PostgreSQL

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat akun basis data menggunakan autentikasi IAM

Dengan autentikasi basis data IAM, Anda tidak perlu menetapkan kata sandi basis data ke akun pengguna yang Anda buat. Jika Anda menghapus pengguna yang dipetakan ke akun basis data, Anda juga harus menghapus akun basis data dengan pernyataan DROP USER.

catatan

Nama pengguna yang digunakan untuk autentikasi IAM harus sesuai dengan besar huruf/kecil nama pengguna dalam basis data.

Menggunakan autentikasi IAM dengan Aurora MySQL

Dengan Aurora MySQL, autentikasi ditangani oleh AWSAuthenticationPlugin—plugin yang disediakan AWS yang bekerja secara lancar dengan IAM untuk mengautentikasi pengguna Anda. Hubungkan ke instans DB sebagai pengguna master atau pengguna lain yang dapat membuat pengguna dan memberikan hak istimewa. Setelah terhubung, keluarkan pernyataan CREATE USER, seperti yang ditunjukkan pada contoh berikut.

CREATE USER jane_doe IDENTIFIED WITH AWSAuthenticationPlugin AS 'RDS';

Klausul IDENTIFIED WITH memungkinkan Aurora MySQL menggunakan AWSAuthenticationPlugin untuk mengautentikasi akun basis data (jane_doe). Klausul AS 'RDS' mengacu pada metode autentikasi. Pastikan nama pengguna basis data yang ditentukan sama dengan sumber daya dalam kebijakan IAM untuk akses basis data IAM. Untuk informasi selengkapnya, lihat Membuat dan menggunakan kebijakan IAM untuk akses basis data IAM.

catatan

Jika Anda melihat pesan berikut, artinya plugin yang disediakan AWS tidak tersedia untuk instans DB saat ini.

ERROR 1524 (HY000): Plugin 'AWSAuthenticationPlugin' is not loaded

Untuk memecahkan masalah kesalahan ini, verifikasi bahwa Anda menggunakan konfigurasi yang didukung dan telah mengaktifkan autentikasi basis data IAM di instans DB Anda. Untuk informasi selengkapnya, lihat Wilayah dan ketersediaan versi dan Mengaktifkan dan menonaktifkan autentikasi basis data IAM.

Setelah membuat akun menggunakan AWSAuthenticationPlugin, Anda mengelolanya dengan cara yang sama seperti akun basis data lainnya. Misalnya, Anda dapat memodifikasi hak istimewa akun dengan pernyataan GRANT dan REVOKE, atau memodifikasi berbagai atribut akun dengan pernyataan ALTER USER.

Lalu lintas jaringan basis data dienkripsi menggunakan SSL/TLS saat menggunakan IAM. Untuk mengizinkan koneksi SSL, modifikasi akun pengguna dengan perintah berikut.

ALTER USER 'jane_doe'@'%' REQUIRE SSL;

Menggunakan autentikasi IAM dengan Aurora PostgreSQL

Untuk menggunakan autentikasi IAM dengan Aurora PostgreSQL, hubungkan ke instans DB sebagai pengguna master atau pengguna lain yang dapat membuat pengguna dan memberikan hak istimewa. Setelah terhubung, buat pengguna basis data lalu beri mereka peran rds_iam seperti yang ditunjukkan pada contoh berikut.

CREATE USER db_userx; 
GRANT rds_iam TO db_userx;

Pastikan nama pengguna basis data yang ditentukan sama dengan sumber daya dalam kebijakan IAM untuk akses basis data IAM. Untuk informasi selengkapnya, lihat Membuat dan menggunakan kebijakan IAM untuk akses basis data IAM.

Perhatikan bahwa pengguna basis data PostgreSQL dapat menggunakan autentikasi IAM atau Kerberos tetapi tidak keduanya, sehingga pengguna ini juga tidak dapat memiliki peran rds_ad. Hal ini juga berlaku untuk keanggotaan bersarang. Untuk informasi selengkapnya, lihat Langkah 7: Buat pengguna PostgreSQL untuk pengguna utama Kerberos Anda .