Otentikasi basis data dengan Aurora - Amazon Aurora
Autentikasi kata sandiIAMotentikasi basis dataAutentikasi Kerberos

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Otentikasi basis data dengan Aurora

Aurora mendukung beberapa cara untuk mengautentikasi pengguna database.

Autentikasi kata sandi tersedia secara default untuk semua klaster basis data. Untuk Aurora My dan SQL Aurora PostgreSQL, Anda juga dapat menambahkan salah satu atau kedua otentikasi IAM database dan otentikasi Kerberos untuk cluster DB yang sama.

Kata sandi, Kerberos, dan otentikasi IAM database menggunakan metode otentikasi yang berbeda ke database. Oleh karena itu, pengguna tertentu dapat masuk ke basis data dengan menggunakan hanya satu metode autentikasi.

Untuk PostgreSQL, gunakan hanya satu pengaturan peran berikut untuk pengguna database tertentu:

  • Untuk menggunakan otentikasi IAM database, tetapkan rds_iam peran ke pengguna.

  • Untuk menggunakan autentikasi Kerberos, tetapkan peran rds_ad untuk pengguna.

  • Untuk menggunakan autentikasi kata sandi, jangan tetapkan peran rds_iam atau rds_ad untuk pengguna.

Jangan tetapkan rds_ad peran rds_iam dan peran ke pengguna SQL database Postgre baik secara langsung maupun tidak langsung dengan akses hibah bersarang. Jika rds_iam peran ditambahkan ke pengguna master, IAM otentikasi lebih diutamakan daripada otentikasi kata sandi sehingga pengguna utama harus masuk sebagai pengguna. IAM

penting

Kami sangat menyarankan agar Anda tidak menggunakan pengguna master secara langsung di aplikasi Anda. Sebagai gantinya, ikuti praktik terbaik penggunaan pengguna basis data yang dibuat dengan privilese minimal yang diperlukan untuk aplikasi Anda.

Autentikasi kata sandi

Dengan autentikasi kata sandi, basis data Anda melakukan semua administrasi akun pengguna. Anda membuat pengguna dengan SQL pernyataan sepertiCREATE USER, dengan klausa yang sesuai yang diperlukan oleh mesin DB untuk menentukan kata sandi. Sebagai contoh, dalam pernyataan saya SQL adalah CREATE USER name IDENTIFIED BY password, sementara di PostgreSQL, pernyataannya adalah CREATE USER name WITH PASSWORD password.

Dengan autentikasi kata sandi, basis data Anda mengendalikan dan mengautentikasi akun pengguna. Jika mesin basis data memiliki fitur pengelolaan kata sandi kuat, mesin itu dapat meningkatkan keamanan. Autentikasi basis data mungkin lebih mudah dikelola dengan menggunakan autentikasi kata sandi apabila komunitas pengguna Anda kecil. Karena kata sandi teks yang jelas dihasilkan dalam kasus ini, terintegrasi dengan AWS Secrets Manager dapat meningkatkan keamanan.

Untuk informasi tentang menggunakan Secrets Manager dengan Amazon Aurora, lihat Membuat rahasia dasar dan Memutar rahasia untuk database Amazon RDS yang didukung di AWS Secrets Manager Panduan Pengguna. Untuk informasi tentang mengambil rahasia Anda secara terprogram di aplikasi kustom Anda, lihat Mengambil nilai rahasia di AWS Secrets Manager Panduan Pengguna.

IAMotentikasi basis data

Anda dapat mengautentikasi ke cluster DB Anda menggunakan AWS Identity and Access Management (IAM) otentikasi basis data. Dengan metode autentikasi ini, Anda tidak perlu menggunakan kata sandi saat menghubungkan dengan klaster basis data. Sebagai gantinya, gunakan token autentikasi.

Untuk informasi selengkapnya tentang otentikasi IAM database, termasuk informasi tentang ketersediaan untuk mesin DB tertentu, lihatAutentikasi basis data IAM.

Autentikasi Kerberos

Amazon Aurora mendukung otentikasi eksternal pengguna database menggunakan Kerberos dan Microsoft Active Directory. Kerberos adalah protokol autentikasi jaringan yang menggunakan tiket dan kriptografi kunci simetris untuk menghilangkan kebutuhan mengirim kata sandi melalui jaringan. Kerberos telah tertanam ke dalam Active Directory dan dirancang untuk mengautentikasi pengguna ke sumber daya jaringan, seperti basis data.

RDSDukungan Amazon Aurora untuk Kerberos dan Active Directory memberikan manfaat sistem masuk tunggal dan otentikasi terpusat dari pengguna database. Anda dapat menyimpan kredensial pengguna Anda di Active Directory. Active Directory menyediakan tempat terpusat untuk menyimpan dan mengelola kredensial bagi beberapa klaster basis data.

Untuk menggunakan kredensyal dari Active Directory yang dikelola sendiri, Anda perlu menyiapkan hubungan kepercayaan ke AWS Directory Service untuk Microsoft Active Directory tempat cluster DB bergabung.

Postgre dan SQL Aurora SQL Dukungan saya terhadap hubungan kepercayaan hutan satu arah dan dua arah dengan otentikasi di seluruh hutan atau otentikasi selektif.

Dalam beberapa skenario, Anda dapat mengonfigurasi otentikasi Kerberos melalui hubungan kepercayaan eksternal. Ini memerlukan Active Directory yang dikelola sendiri untuk memiliki pengaturan tambahan. Ini termasuk tetapi tidak terbatas pada Perintah Pencarian Hutan Kerberos.

Aurora mendukung otentikasi Kerberos untuk cluster Aurora My dan Aurora Postgre DBSQL. SQL Untuk informasi selengkapnya, silakan lihat Menggunakan autentikasi Kerberos untuk Aurora MySQL dan Menggunakan autentikasi Kerberos dengan Aurora PostgreSQL.