Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Otentikasi basis data dengan Aurora
Aurora mendukung beberapa cara untuk mengautentikasi pengguna database.
Autentikasi kata sandi tersedia secara default untuk semua klaster basis data. Untuk Aurora My dan SQL Aurora PostgreSQL, Anda juga dapat menambahkan salah satu atau kedua otentikasi IAM database dan otentikasi Kerberos untuk cluster DB yang sama.
Kata sandi, Kerberos, dan otentikasi IAM database menggunakan metode otentikasi yang berbeda ke database. Oleh karena itu, pengguna tertentu dapat masuk ke basis data dengan menggunakan hanya satu metode autentikasi.
Untuk PostgreSQL, gunakan hanya satu pengaturan peran berikut untuk pengguna database tertentu:
-
Untuk menggunakan otentikasi IAM database, tetapkan
rds_iamperan ke pengguna. -
Untuk menggunakan autentikasi Kerberos, tetapkan peran
rds_aduntuk pengguna. -
Untuk menggunakan autentikasi kata sandi, jangan tetapkan peran
rds_iamataurds_aduntuk pengguna.
Jangan tetapkan rds_ad peran rds_iam dan peran ke pengguna SQL database Postgre baik secara langsung maupun tidak langsung dengan akses hibah bersarang. Jika rds_iam peran ditambahkan ke pengguna master, IAM otentikasi lebih diutamakan daripada otentikasi kata sandi sehingga pengguna utama harus masuk sebagai pengguna. IAM
penting
Kami sangat menyarankan agar Anda tidak menggunakan pengguna master secara langsung di aplikasi Anda. Sebagai gantinya, ikuti praktik terbaik penggunaan pengguna basis data yang dibuat dengan privilese minimal yang diperlukan untuk aplikasi Anda.
Autentikasi kata sandi
Dengan autentikasi kata sandi, basis data Anda melakukan semua administrasi akun pengguna. Anda membuat pengguna dengan SQL pernyataan sepertiCREATE USER, dengan klausa yang sesuai yang diperlukan oleh mesin DB untuk menentukan kata sandi. Sebagai contoh, dalam pernyataan saya SQL adalah CREATE USER name IDENTIFIED BY password, sementara di PostgreSQL, pernyataannya adalah CREATE USER name WITH PASSWORD password.
Dengan autentikasi kata sandi, basis data Anda mengendalikan dan mengautentikasi akun pengguna. Jika mesin basis data memiliki fitur pengelolaan kata sandi kuat, mesin itu dapat meningkatkan keamanan. Autentikasi basis data mungkin lebih mudah dikelola dengan menggunakan autentikasi kata sandi apabila komunitas pengguna Anda kecil. Karena kata sandi teks yang jelas dihasilkan dalam kasus ini, mengintegrasikan dengan AWS Secrets Manager dapat meningkatkan keamanan.
Untuk informasi tentang menggunakan Secrets Manager dengan Amazon Aurora, lihat Membuat rahasia dasar dan Memutar rahasia untuk RDS database Amazon yang didukung di Panduan Pengguna.AWS Secrets Manager Lihat informasi tentang cara mengambil rahasia secara terprogram pada aplikasi kustom Anda di Mengambil nilai rahasia dalam Panduan Pengguna AWS Secrets Manager .
IAMotentikasi basis data
Anda dapat mengautentikasi ke cluster DB Anda menggunakan AWS Identity and Access Management (IAM) otentikasi database. Dengan metode autentikasi ini, Anda tidak perlu menggunakan kata sandi saat menghubungkan dengan klaster basis data. Sebagai gantinya, gunakan token autentikasi.
Untuk informasi selengkapnya tentang otentikasi IAM database, termasuk informasi tentang ketersediaan untuk mesin DB tertentu, lihatAutentikasi basis data IAM.
Autentikasi Kerberos
Amazon Aurora mendukung otentikasi eksternal pengguna database menggunakan Kerberos dan Microsoft Active Directory. Kerberos adalah protokol autentikasi jaringan yang menggunakan tiket dan kriptografi kunci simetris untuk menghilangkan kebutuhan mengirim kata sandi melalui jaringan. Kerberos telah tertanam ke dalam Active Directory dan dirancang untuk mengautentikasi pengguna ke sumber daya jaringan, seperti basis data.
RDSDukungan Amazon Aurora untuk Kerberos dan Active Directory memberikan manfaat sistem masuk tunggal dan otentikasi terpusat pengguna database. Anda dapat menyimpan kredensial pengguna Anda di Active Directory. Active Directory menyediakan tempat terpusat untuk menyimpan dan mengelola kredensial bagi beberapa klaster basis data.
Anda bisa membuat pengguna basis data dapat mengautentikasi klaster basis data dengan dua cara. Mereka dapat menggunakan kredensyal yang disimpan baik di dalam AWS Directory Service for Microsoft Active Directory atau di Active Directory lokal Anda.
Postgre SQL tidak mendukung jenis otentikasi selektif dalam kepercayaan hutan, hanya otentikasi di seluruh hutan.
Aurora mendukung otentikasi Kerberos untuk cluster Aurora My dan Aurora Postgre DBSQL. SQL Untuk informasi lebih lanjut tentang otentikasi Kerberos untuk Aurora My, lihat. SQL Menggunakan autentikasi Kerberos untuk Aurora MySQL
Dengan otentikasi Kerberos, klaster Aurora Postgre SQL DB mendukung hubungan kepercayaan hutan satu dan dua arah. Untuk informasi selengkapnya, lihat Menggunakan autentikasi Kerberos dengan Aurora PostgreSQL.
