Otentikasi basis data dengan Amazon RDS Aurora - Layanan Basis Data Relasional Amazon
Autentikasi kata sandiIAMotentikasi basis dataAutentikasi Kerberos

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Otentikasi basis data dengan Amazon RDS Aurora

Amazon RDS Amazon mendukung beberapa cara untuk mengautentikasi pengguna database.

Kata sandi, Kerberos, dan otentikasi IAM database menggunakan metode otentikasi yang berbeda ke database. Oleh karena itu, pengguna tertentu dapat masuk ke basis data dengan menggunakan hanya satu metode autentikasi.

Untuk PostgreSQL, gunakan hanya satu pengaturan peran berikut untuk pengguna database tertentu:

  • Untuk menggunakan otentikasi IAM database, tetapkan rds_iam peran ke pengguna.

  • Untuk menggunakan autentikasi Kerberos, tetapkan peran rds_ad untuk pengguna.

  • Untuk menggunakan autentikasi kata sandi, jangan tetapkan peran rds_iam atau rds_ad untuk pengguna.

Jangan tetapkan rds_ad peran rds_iam dan peran ke pengguna SQL database Postgre baik secara langsung maupun tidak langsung dengan akses hibah bersarang. Jika rds_iam peran ditambahkan ke pengguna master, IAM otentikasi lebih diutamakan daripada otentikasi kata sandi sehingga pengguna utama harus masuk sebagai pengguna. IAM

penting

Kami sangat menyarankan agar Anda tidak menggunakan pengguna master secara langsung di aplikasi Anda. Sebagai gantinya, ikuti praktik terbaik penggunaan pengguna basis data yang dibuat dengan privilese minimal yang diperlukan untuk aplikasi Anda.

Autentikasi kata sandi

Dengan autentikasi kata sandi, basis data Anda melakukan semua administrasi akun pengguna. Anda membuat pengguna dengan SQL pernyataan sepertiCREATE USER, dengan klausa yang sesuai yang diperlukan oleh mesin DB untuk menentukan kata sandi. Sebagai contoh, dalam pernyataan saya SQL adalah CREATE USER name IDENTIFIED BY password, sementara di PostgreSQL, pernyataannya adalah CREATE USER name WITH PASSWORD password.

Dengan autentikasi kata sandi, basis data Anda mengendalikan dan mengautentikasi akun pengguna. Jika mesin basis data memiliki fitur pengelolaan kata sandi kuat, mesin itu dapat meningkatkan keamanan. Autentikasi basis data mungkin lebih mudah dikelola dengan menggunakan autentikasi kata sandi apabila komunitas pengguna Anda kecil. Karena kata sandi teks yang jelas dihasilkan dalam kasus ini, terintegrasi dengan AWS Secrets Manager dapat meningkatkan keamanan.

Untuk informasi tentang menggunakan Secrets Manager dengan RDSAmazon , lihat Membuat rahasia dasar dan Memutar rahasia untuk database Amazon RDS yang didukung di AWS Secrets Manager Panduan Pengguna. Untuk informasi tentang mengambil rahasia Anda secara terprogram di aplikasi kustom Anda, lihat Mengambil nilai rahasia di AWS Secrets Manager Panduan Pengguna.

IAMotentikasi basis data

Anda dapat mengautentikasi ke instans DB Anda menggunakan AWS Identity and Access Management (IAM) otentikasi basis data. Dengan metode autentikasi ini, Anda tidak perlu menggunakan kata sandi saat menghubungkan dengan instans basis data. Sebagai gantinya, gunakan token autentikasi.

Untuk informasi selengkapnya tentang otentikasi IAM database, termasuk informasi tentang ketersediaan untuk mesin DB tertentu, lihatAutentikasi basis data IAM untuk MariaDB, MySQL, dan PostgreSQL.

Autentikasi Kerberos

mendukung otentikasi eksternal pengguna database menggunakan Kerberos dan Microsoft Active Directory. Kerberos adalah protokol autentikasi jaringan yang menggunakan tiket dan kriptografi kunci simetris untuk menghilangkan kebutuhan mengirim kata sandi melalui jaringan. Kerberos telah tertanam ke dalam Active Directory dan dirancang untuk mengautentikasi pengguna ke sumber daya jaringan, seperti basis data.

RDSDukungan untuk Kerberos dan Active Directory memberikan manfaat sistem masuk tunggal dan otentikasi terpusat dari pengguna database. Anda dapat menyimpan kredensial pengguna Anda di Active Directory. Active Directory menyediakan tempat terpusat untuk menyimpan dan mengelola kredensial bagi beberapa instans basis data.

Untuk menggunakan kredensyal dari Active Directory yang dikelola sendiri, Anda perlu menyiapkan hubungan kepercayaan ke AWS Directory Service untuk Microsoft Active Directory tempat bergabung.

RDSuntuk Postgre SQL dan RDS untuk My Aurora SQL di seluruh hutan atau otentikasi selektif.

Dalam beberapa skenario, Anda dapat mengonfigurasi otentikasi Kerberos melalui hubungan kepercayaan eksternal. Ini memerlukan Active Directory yang dikelola sendiri untuk memiliki pengaturan tambahan. Ini termasuk tetapi tidak terbatas pada Perintah Pencarian Hutan Kerberos.

Instans Microsoft SQL Server dan Postgre SQL DB mendukung hubungan kepercayaan hutan satu arah dan dua arah. Instans Oracle DB mendukung hubungan kepercayaan eksternal dan hutan satu arah dan dua arah. Untuk informasi selengkapnya, lihat Kapan membuat hubungan kepercayaan di AWS Directory Service Panduan Administrasi.

Lihat informasi tentang autentikasi Kerberos dengan mesin basis data tertentu di:

catatan

Saat ini, autentikasi Kerberos tidak didukung untuk instans basis data MariaDB.