Membuat akun basis data menggunakan autentikasi IAM - Amazon Aurora
Menggunakan autentikasi IAM dengan Aurora MySQLMenggunakan autentikasi IAM dengan Aurora PostgreSQL

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat akun basis data menggunakan autentikasi IAM

Dengan autentikasi basis data IAM, Anda tidak perlu menetapkan kata sandi basis data ke akun pengguna yang Anda buat. Jika Anda menghapus pengguna yang dipetakan ke akun basis data, Anda juga harus menghapus akun basis data dengan pernyataan DROP USER.

catatan

Nama pengguna yang digunakan untuk autentikasi IAM harus sesuai dengan huruf besar/kecil nama pengguna dalam basis data.

Menggunakan autentikasi IAM dengan Aurora MySQL

Dengan dan Aurora MySQL, otentikasi AWSAuthenticationPlugin ditangani AWS oleh —sebuah plugin yang disediakan yang bekerja mulus dengan IAM untuk mengautentikasi pengguna Anda. Hubungkan ke klaster DB sebagai pengguna master atau pengguna lain yang dapat membuat pengguna dan memberikan hak akses. Setelah terhubung, berikan pernyataan CREATE USER, seperti yang ditunjukkan pada contoh berikut.

CREATE USER 'jane_doe' IDENTIFIED WITH AWSAuthenticationPlugin AS 'RDS';

Klausa IDENTIFIED WITH memungkinkan Aurora MySQL menggunakan AWSAuthenticationPlugin untuk mengautentikasi akun basis data (jane_doe). Klausa AS 'RDS' mengacu pada metode autentikasi. Pastikan nama pengguna basis data yang ditentukan sama dengan sumber daya dalam kebijakan IAM untuk akses basis data IAM. Untuk informasi selengkapnya, lihat Membuat dan menggunakan kebijakan IAM untuk akses basis data IAM.

catatan

Jika Anda melihat pesan berikut, itu berarti plugin AWS-provided tidak tersedia untuk cluster DB saat ini.

ERROR 1524 (HY000): Plugin 'AWSAuthenticationPlugin' is not loaded

Untuk mengatasi kesalahan ini, verifikasikan bahwa Anda menggunakan konfigurasi yang didukung dan bahwa Anda telah mengaktifkan autentikasi basis data IAM di klaster DB Anda. Untuk informasi lebih lanjut, lihat Wilayah dan ketersediaan versi dan Mengaktifkan dan menonaktifkan autentikasi basis data IAM.

Setelah membuat akun menggunakan AWSAuthenticationPlugin, Anda mengelolanya dengan cara yang sama seperti akun basis data lainnya. Misalnya, Anda dapat memodifikasi hak akses akun dengan pernyataan GRANT dan REVOKE, atau memodifikasi berbagai atribut akun dengan pernyataan ALTER USER.

Lalu lintas jaringan basis data dienkripsi menggunakan SSL/TLS saat menggunakan IAM. Untuk mengizinkan koneksi SSL, ubah akun pengguna dengan perintah berikut.

ALTER USER 'jane_doe'@'%' REQUIRE SSL;

Menggunakan autentikasi IAM dengan Aurora PostgreSQL

Untuk menggunakan autentikasi IAM dengan Aurora PostgreSQL, hubungkan ke klaster DB sebagai pengguna master atau pengguna lain yang dapat membuat pengguna dan memberikan hak istimewa. Setelah terhubung, buat pengguna basis data lalu berikan peran rds_iam kepada pengguna tersebut seperti yang ditunjukkan pada contoh berikut.

CREATE USER db_userx; 
GRANT rds_iam TO db_userx;

Pastikan nama pengguna basis data yang ditentukan sama dengan sumber daya dalam kebijakan IAM untuk akses basis data IAM. Untuk informasi selengkapnya, lihat Membuat dan menggunakan kebijakan IAM untuk akses basis data IAM. Anda harus memberikan rds_iam peran untuk menggunakan otentikasi IAM. Anda juga dapat menggunakan keanggotaan bersarang atau hibah tidak langsung dari peran tersebut.

Perhatikan bahwa pengguna basis data PostgreSQL dapat menggunakan autentikasi IAM atau Kerberos tetapi tidak keduanya, sehingga pengguna ini tidak dapat memiliki juga peran rds_ad. Hal ini juga berlaku untuk keanggotaan bersarang. Untuk informasi selengkapnya, lihat Langkah 7: Buat pengguna PostgreSQL untuk pengguna utama Kerberos Anda .