Autentikasi basis data IAM

Lalu lintas jaringan ke dan dari basis data dienkripsi menggunakan Lapisan Soket Aman (SSL) atau Keamanan Lapisan Pengangkutan (TLS). Untuk informasi selengkapnya tentang cara menggunakan SSL/TLS dengan Amazon Aurora, lihat .

Anda dapat menggunakan IAM untuk mengelola akses ke sumber daya basis data Anda secara terpusat, bukan mengelola akses satu per satu pada setiap klaster DB.

Untuk aplikasi yang berjalan di Amazon EC2, Anda dapat menggunakan kredensial profil khusus untuk instans EC2 untuk mengakses basis data, bukan menggunakan kata sandi, untuk keamanan yang lebih baik.

AWS SDK for .NET

AWS SDK for C++

AWS SDK for Go

AWS SDK for Java

AWS SDK for JavaScript

AWS SDK for PHP

AWS SDK for Python (Boto3)

AWS SDK for Ruby

Autentikasi database IAM membatasi koneksi dalam skenario berikut:

Koneksi yang menggunakan token otentikasi yang sama tidak dibatasi. Kami menyarankan Anda menggunakan kembali token otentikasi jika memungkinkan.

Saat ini, autentikasi basis data IAM tidak mendukung kunci konteks kondisi global.

Untuk informasi selengkapnya tentang kunci konteks kondisi global, lihat Kunci konteks kondisi global AWS dalam Panduan Pengguna IAM.

Untuk PostgreSQL, jika peran IAM (rds_iam) ditambahkan ke pengguna (termasuk pengguna master RDS), autentikasi IAM akan lebih diprioritaskan daripada autentikasi kata sandi, sehingga pengguna harus login sebagai pengguna IAM.

Untuk Aurora PostgreSQL, Anda tidak dapat menggunakan autentikasi IAM untuk membuat koneksi replikasi.

Anda tidak dapat menggunakan data DNS Route 53 kustom sebagai pengganti titik akhir klaster DB untuk menghasilkan token autentikasi.

CloudWatch dan CloudTrail jangan mencatat otentikasi IAM. Layanan ini tidak melacak panggilan generate-db-auth-token API yang mengotorisasi peran IAM untuk mengaktifkan koneksi database. Untuk informasi selengkapnya, lihat Mencapai auditabilitas dengan autentikasi Amazon RDS IAM menggunakan kontrol akses berbasis atribut.

Gunakan autentikasi basis data IAM ketika aplikasi Anda membutuhkan tidak lebih dari 200 koneksi autentikasi basis data IAM per detik.

Mesin basis data yang berfungsi dengan Amazon Aurora tidak memberlakukan batasan apa pun untuk percobaan autentikasi per detik. Namun, ketika Anda menggunakan autentikasi basis data IAM, aplikasi Anda harus membuat token autentikasi. Aplikasi Anda kemudian menggunakan token tersebut untuk terhubung ke klaster DB. Jika Anda melebihi batas maksimum untuk koneksi baru per detik, maka overhead tambahan dari autentikasi basis data IAM dapat menyebabkan throttling koneksi.

Pertimbangkan untuk menggunakan pooling koneksi di aplikasi Anda untuk mengurangi pembuatan koneksi yang konstan. Cara ini dapat mengurangi overhead dari autentikasi DB IAM dan memungkinkan aplikasi Anda menggunakan kembali koneksi yang ada. Alternatifnya, pertimbangkan untuk menggunakan Proksi RDS untuk kasus penggunaan ini. Proksi RDS memiliki biaya tambahan. Lihat Harga Proksi RDS.

Ukuran token autentikasi basis data IAM tergantung pada banyak hal termasuk jumlah tag IAM, kebijakan layanan IAM, panjang ARN, serta properti IAM dan basis data lainnya. Ukuran minimum token ini umumnya sekitar 1 KB tetapi bisa lebih besar. Karena token ini digunakan sebagai kata sandi dalam string koneksi ke basis data yang menggunakan autentikasi IAM, Anda harus memastikan bahwa driver basis data Anda (misalnya, ODBC) dan/atau alat apa pun tidak membatasi atau memotong token ini dikarenakan ukurannya. Token yang terpotong akan menyebabkan kegagalan validasi autentikasi oleh basis data dan IAM.

Jika Anda menggunakan kredensial sementara saat membuat token autentikasi basis data IAM, kredensial sementara masih harus valid saat menggunakan token autentikasi basis data IAM untuk membuat permintaan koneksi.

aws:Referer

aws:SourceIp

aws:SourceVpc

aws:SourceVpce

aws:UserAgent

aws:VpcSourceIp