Autenticazione del database con Amazon RDS - Amazon Relational Database Service
Autenticazione passwordAutenticazione del database IAMAutenticazione Kerberos

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autenticazione del database con Amazon RDS

Amazon RDS Amazon supporta diversi modi per autenticare gli utenti del database.

Password, Kerberos e autenticazione del database utilizzano metodi diversi di autenticazione IAM nel database. Pertanto, un utente specifico può accedere a un database utilizzando un solo metodo di autenticazione.

Per PostgreSQL, utilizzate solo una delle seguenti impostazioni di ruolo per un utente di un database specifico:

  • Per utilizzare l'autenticazione IAM del database, assegna il rds_iam ruolo all'utente.

  • Per utilizzare l'autenticazione Kerberos, assegna all'utente il ruolo rds_ad.

  • Per utilizzare l'autenticazione con password, non assegnare i ruoli rds_iam o rds_ad.

Non assegnate entrambi i rds_ad ruoli rds_iam e a un utente di un SQL database Postgre direttamente o indirettamente tramite accesso annidato. Se il rds_iam ruolo viene aggiunto all'utente master, l'IAMautenticazione ha la precedenza sull'autenticazione tramite password, quindi l'utente master deve accedere come utente. IAM

Importante

Si consiglia di non utilizzare l'utente master direttamente nelle applicazioni. Rispetta piuttosto la best practice di utilizzare un utente del database creato con i privilegi minimi richiesti per l'applicazione.

Autenticazione password

Con autenticazione con password il database esegue tutta l'amministrazione degli account utente. Gli utenti vengono creati con SQL istruzioni comeCREATE USER, ad esempio, con la clausola appropriata richiesta dal motore DB per specificare le password. Ad esempio, in My SQL l'affermazione è CREATE USER name IDENTIFIED BY password, mentre in PostgreSQL, l'affermazione è CREATE USER name WITH PASSWORD password.

Con l'autenticazione con password, il database controlla e autentica gli account utente. Se un motore DB dispone di potenti funzionalità di gestione delle password, può migliorare la sicurezza. L'autenticazione del database potrebbe essere più semplice da amministrare utilizzando l'autenticazione con password quando si dispone di comunità di utenti di piccole dimensioni. Perché in questo caso vengono generate password in testo non crittografato, che si integrano con AWS Secrets Manager può migliorare la sicurezza.

Per informazioni sull'uso di Secrets Manager con Amazon RDS , consulta Creazione di un segreto di base e Rotazione dei segreti per i database Amazon RDS supportati nel AWS Secrets Manager Guida per l'utente. Per informazioni sul recupero programmatico dei segreti nelle applicazioni personalizzate, vedere Recupero del valore segreto nella AWS Secrets Manager Guida per l'utente.

Autenticazione del database IAM

AWS Identity and Access Management (IAM) autenticazione del database. Con questo metodo di autenticazione, non devi utilizzare una password quando esegui la connessione all'istanza database. Utilizzi invece un token di autenticazione.

Per ulteriori informazioni sull'autenticazione del IAM database, incluse le informazioni sulla disponibilità per motori DB specifici, vedereAutenticazione del database IAM per MariaDB, MySQL e PostgreSQL.

Autenticazione Kerberos

supporta l'autenticazione esterna degli utenti del database tramite Kerberos e Microsoft Active Directory. Kerberos è un protocollo di autenticazione di rete che utilizza ticket e crittografia a chiave simmetrica eliminando la necessità di scambiare password sulla rete. È stato integrato in Microsoft Active Directory ed è progettato per autenticare gli utenti su risorse di rete, ad esempio i database.

per Kerberos e Active Directory offre i vantaggi del single sign-on e dell'autenticazione centralizzata degli utenti del database. Puoi mantenere le tue credenziali utente in Active Directory. Active Directory fornisce una posizione centralizzata per archiviare e gestire le credenziali per più istanze database.

Per utilizzare le credenziali del tuo Active Directory autogestito, devi impostare una relazione di fiducia con AWS Directory Service per Microsoft Active Directory a cui fa parte il .

RDSper Postgre e RDS per My Aurora SQL Postgre e SQL Aurora bidirezionali con l'autenticazione a livello di foresta o l'autenticazione selettiva.

In alcuni scenari, è possibile configurare l'autenticazione Kerberos tramite una relazione di fiducia esterna. Ciò richiede che l'Active Directory autogestito disponga di impostazioni aggiuntive. Ciò include, a titolo esemplificativo ma non esaustivo, Kerberos Forest Search Order.

Le istanze Microsoft SQL Server e Postgre SQL DB supportano relazioni di trust tra foreste unidirezionali e bidirezionali. Le istanze DB di Oracle supportano relazioni di trust esterne e forestali unidirezionali e bidirezionali. Per ulteriori informazioni, vedere Quando creare una relazione di trust nel AWS Directory Service Guida all'amministrazione.

Per informazioni sull'autenticazione Kerberos con uno specifico motore del database, consulta quanto segue:

Nota

Attualmente, l'autenticazione Kerberos non è supportata per le istanze database MariaDB.