Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
#
Amazon RDS Aurora mendukung beberapa cara untuk mengautentikasi pengguna database.
Autentikasi kata sandi, Kerberos, dan basis data IAM menggunakan metode autentikasi yang berbeda ke basis data. Oleh karena itu, pengguna tertentu dapat masuk ke basis data dengan menggunakan hanya satu metode autentikasi.
Untuk PostgreSQL, gunakan hanya salah satu dari setelah peran berikut untuk pengguna basis data tertentu:
+ Untuk menggunakan autentikasi basis data IAM, tetapkan peran `rds_iam` untuk pengguna.
+ Untuk menggunakan autentikasi Kerberos, tetapkan peran `rds_ad` untuk pengguna.
+ Untuk menggunakan autentikasi kata sandi, jangan tetapkan peran `rds_iam` atau `rds_ad` untuk pengguna.
Jangan tetapkan kedua peran `rds_iam` dan `rds_ad` untuk pengguna basis data PostgreSQL baik secara langsung maupun tidak langsung dengan akses pemberian bersarang. Jika peran `rds_iam` ditambahkan ke pengguna master, autentikasi IAM diutamakan atas autentikasi kata sandi sehingga pengguna master harus masuk sebagai pengguna IAM.
**penting**
Sebaiknya jangan gunakan pengguna master secara langsung di aplikasi Anda. Sebagai gantinya, ikuti praktik terbaik penggunaan pengguna basis data yang dibuat dengan privilese minimal yang diperlukan untuk aplikasi Anda.
**Topics**
+ [Autentikasi kata sandi](#password-authentication)
+ [Autentikasi basis data IAM](#iam-database-authentication)
+ [Autentikasi Kerberos](#kerberos-authentication)
## Autentikasi kata sandi
Dengan *autentikasi kata sandi*, basis data Anda melakukan semua administrasi akun pengguna. Anda membuat pengguna dengan pernyataan SQL seperti `CREATE USER`, dengan klausa yang tepat yang diperlukan oleh mesin basis data untuk menentukan kata sandi. Misalnya, di MySQL pernyataannya adalah, sementara di PostgreSQL, pernyataannya `CREATE USER` *name* `IDENTIFIED BY` *password* adalah. `CREATE USER` *name* `WITH PASSWORD` *password*
Dengan autentikasi kata sandi, basis data Anda mengendalikan dan mengautentikasi akun pengguna. Jika mesin basis data memiliki fitur pengelolaan kata sandi kuat, mesin itu dapat meningkatkan keamanan. Autentikasi basis data mungkin lebih mudah dikelola dengan menggunakan autentikasi kata sandi apabila komunitas pengguna Anda kecil. Karena kata sandi teks yang jelas dihasilkan dalam kasus ini, mengintegrasikan dengan AWS Secrets Manager dapat meningkatkan keamanan.
*Untuk informasi tentang menggunakan Secrets Manager dengan Amazon RDS Aurora, [lihat Membuat rahasia dasar](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_create-basic-secret.html) [dan Memutar rahasia untuk database Amazon RDS yang didukung](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets-rds.html) di Panduan Pengguna.AWS Secrets Manager * Lihat informasi tentang cara mengambil rahasia secara terprogram pada aplikasi kustom Anda di [Mengambil nilai rahasia](https://docs.aws.amazon.com/secretsmanager/latest/userguide/manage_retrieve-secret.html) dalam *Panduan Pengguna AWS Secrets Manager *.
## Autentikasi basis data IAM
Anda dapat mengautentikasi ke instans DB Anda menggunakan otentikasi database AWS Identity and Access Management (IAM). Dengan metode otentikasi ini, Anda tidak perlu menggunakan kata sandi saat terhubung ke instans DB. Sebagai gantinya, Anda menggunakan token autentikasi.
Untuk informasi selengkapnya tentang autentikasi database IAM, termasuk informasi tentang ketersediaan untuk mesin DB tertentu, lihat. [Autentikasi basis data IAMuntuk MariaDB, MySQL, dan PostgreSQL](UsingWithRDS.IAMDBAuth.md)
## Autentikasi Kerberos
RDS mendukung otentikasi eksternal pengguna database menggunakan Kerberos dan Microsoft Active Directory. Kerberos adalah protokol autentikasi jaringan yang menggunakan tiket dan kriptografi kunci simetris untuk menghilangkan kebutuhan mengirim kata sandi melalui jaringan. Kerberos telah tertanam ke dalam Active Directory dan dirancang untuk mengautentikasi pengguna ke sumber daya jaringan, seperti basis data.
Dukungan RDS untuk Kerberos dan Active Directory memberikan manfaat sistem masuk tunggal dan otentikasi terpusat dari pengguna database. Anda dapat menyimpan kredensial pengguna Anda di Active Directory.
Untuk menggunakan kredensyal dari Active Directory yang dikelola sendiri, Anda perlu menyiapkan hubungan kepercayaan ke for Directory Service Microsoft Active Directory tempat .
RDS untuk PostgreSQL dan RDS untuk MySQL Aurora PostgreSQL dan Aurora MySQL mendukung hubungan kepercayaan hutan .
Dalam beberapa skenario, Anda dapat mengonfigurasi otentikasi Kerberos melalui hubungan kepercayaan eksternal. Ini memerlukan Active Directory yang dikelola sendiri untuk memiliki pengaturan tambahan. Ini termasuk tetapi tidak terbatas pada Perintah [Pencarian Hutan Kerberos](https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/kfso-not-work-in-external-trust-event-is-17).
Microsoft SQL Server dan PostgreSQL DB instance mendukung hubungan kepercayaan hutan satu arah dan dua arah. Instans Oracle DB mendukung hubungan kepercayaan eksternal dan hutan satu arah dan dua arah. Lihat informasi yang lebih lengkap di [Kapan sebaiknya menciptakan hubungan kepercayaan](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/setup_trust.html) dalam *Panduan Administrasi Directory Service *.
Lihat informasi tentang autentikasi Kerberos dengan mesin basis data tertentu di:
+ [Bekerja dengan Direktori Aktif AWS Terkelola dengan RDS untuk SQL Server](USER_SQLServerWinAuth.md)
+ [Menggunakan Kerberos otentikasi untuk Amazon RDS for MySQL](mysql-kerberos.md)
+ [Mengonfigurasi autentikasi Kerberos untuk Amazon RDS for Oracle](oracle-kerberos.md)
+ [Menggunakan autentikasi Kerberos dengan Amazon RDS for PostgreSQL](postgresql-kerberos.md)
+ [Menggunakan Kerberos otentikasi untuk Amazon RDS untuk Db2](db2-kerberos.md) .
**catatan**
Saat ini, autentikasi Kerberos tidak didukung untuk instans basis data MariaDB.