Criar uma conta de banco de dados usando autenticação do IAM - Amazon Aurora

Criar uma conta de banco de dados usando autenticação do IAM

Com a autenticação de banco de dados do IAM, você não precisa atribuir senhas de banco de dados à conta de usuário que você criar. Se você remover um usuário que está mapeado a uma conta de banco de dados, também deverá remover a conta de banco de dados com a instrução DROP USER.

nota

O nome de usuário usado para autenticação do IAM deve corresponder ao caso do nome de usuário no banco de dados.

Usar autenticação do IAM com o Aurora MySQL

Com o Aurora MySQL, a autenticação é processada por AWSAuthenticationPlugin: um plug-in fornecido pela AWS que funciona perfeitamente com o IAM para autenticar seus usuários. Conecte-se ao cluster de banco de dados como usuário principal ou um usuário diferente que possa criar usuários e conceder privilégios. Depois de se conectar, emita a instrução CREATE USER conforme mostrado no exemplo a seguir.

CREATE USER 'jane_doe' IDENTIFIED WITH AWSAuthenticationPlugin AS 'RDS';

A cláusula IDENTIFIED WITH permite que o Aurora MySQL usem o AWSAuthenticationPlugin para autenticar a conta de banco de dados (jane_doe). A AS 'RDS' cláusula refere-se ao método de autenticação. Verifique se o nome do usuário do banco de dados especificado é o mesmo que um recurso na política do IAM para acesso ao banco de dados do IAM. Para obter mais informações, consulte Criar e usar uma política do IAM para acesso do banco de dados do IAM.

nota

Se você ver a mensagem a seguir, significa que o plugin fornecido pela AWS não está disponível para de Bancos de Dados atual cluster.

ERROR 1524 (HY000): Plugin 'AWSAuthenticationPlugin' is not loaded

Para solucionar esse erro, verifique se você está usando uma configuração compatível e se habilitou a autenticação de banco de dados do IAM em seu cluster de banco de dados. Para obter mais informações, consulte Disponibilidade de região e versão e Habilitar e desabilitar a autenticação de banco de dados do IAM.

Apos criar uma conta usando AWSAuthenticationPlugin, você a gerencia do mesmo modo que as outras contas de banco de dados. Por exemplo, você pode modificar os privilégios da conta com os atributos GRANT e REVOKE, ou modificar os vários atributos da conta com a instrução ALTER USER.

O tráfego de rede do banco de dados é criptografado utilizando SSL/TLS ao usar o IAM. Para permitir conexões SSL, modifique a conta do usuário com o comando a seguir.

ALTER USER 'jane_doe'@'%' REQUIRE SSL;

Usar autenticação do IAM com o Aurora PostgreSQL

Para usar a autenticação do IAM com o Aurora PostgreSQL, conecte-se ao cluster de banco de dados como usuário principal ou um usuário diferente que possa criar usuários e conceder privilégios. Depois de conectar-se, crie usuários de banco de dados e, depois, conceda a eles a função rds_iam conforme mostrado no exemplo a seguir.

CREATE USER db_userx; GRANT rds_iam TO db_userx;

Verifique se o nome do usuário do banco de dados especificado é o mesmo que um recurso na política do IAM para acesso ao banco de dados do IAM. Para obter mais informações, consulte Criar e usar uma política do IAM para acesso do banco de dados do IAM. Você deve conceder o perfil rds_iam para usar a autenticação do IAM. Também é possível usar associações aninhadas ou concessões indiretas do perfil.

Observe que um usuário de banco de dados PostgreSQL pode usar a autenticação do IAM ou Kerberos, mas não ambas, portanto esse usuário também não pode ter a função rds_ad. Isso também se aplica a assinaturas aninhadas. Para obter mais informações, consulte Etapa 7: Criar usuários do PostgreSQL para suas entidades principais do Kerberos .