的 IAM 数据库身份验证

数据库的出站和进站网络流量是使用安全套接字层 (SSL) 或传输层安全性 (TLS) 加密的。有关将 SSL/TLS 与 Amazon Aurora 一起使用的更多信息，请参阅使用 SSL/TLS 加密与数据库集群的连接。

您可以使用 IAM 集中管理对数据库资源的访问，而不是单独管理对每个数据库集群的访问。

对于在 Amazon EC2 上运行的应用程序，您可以使用 EC2 实例特定的配置文件凭证访问数据库以提高安全性，而不是使用密码。

AWS SDK for .NET

AWS SDK for C++

AWS SDK for Go

AWS SDK for Java

AWS SDK for JavaScript

AWS SDK for PHP

AWS SDK for Python (Boto3)

AWS SDK for Ruby

数据库集群每秒的最大连接数可能会受到限制，具体取决于其数据库实例类和工作负载。如果在数据库负载高峰期间资源耗尽，IAM 身份验证可能会失败。

目前，IAM 数据库身份验证并不支持所有的全局条件上下文键。

有关全局条件上下文键的更多信息，请参阅《IAM 用户指南》中的 AWS 全局条件上下文键。

对于 PostgreSQL，如果将 IAM 角色（rds_iam）添加到某个用户（包括 RDS 主用户），IAM 身份验证将优先于密码身份验证，因此该用户必须以 IAM 用户身份登录。

对于 Aurora PostgreSQL，您不能使用 IAM 身份验证来建立复制连接。

不能使用自定义 Route 53 DNS 记录代替数据库集群端点来生成身份验证令牌。

CloudWatch 和 CloudTrail 不记录 IAM 身份验证。这些服务不会跟踪授权 IAM 角色启用数据库连接的 generate-db-auth-token API 调用。有关更多信息，请参阅使用基于属性的访问控制，实现 Amazon RDS IAM 身份验证的可审计性。

当您的应用程序每秒需要少于 200 个新的 IAM 数据库身份验证连接时，请使用 IAM 数据库身份验证。

使用 Amazon Aurora 的数据库引擎不会对每秒的身份验证尝试次数施加任何限制。不过，在使用 IAM 数据库身份验证时，您的应用程序必须生成身份验证令牌。之后，您的应用程序将使用该令牌连接到数据库集群。如果超出每秒的最大新连接数限制，则 IAM 数据库身份验证的额外开销可能会导致连接受到限制。

考虑在应用程序中使用连接池来减少持续的连接创建。这可以减少 IAM 数据库身份验证的开销，并允许应用程序重用现有连接。或者，考虑对这些使用案例使用 RDS 代理。RDS 代理有额外费用。请参阅 RDS 代理定价。

IAM 数据库身份验证令牌的大小取决于许多因素，包括 IAM 标签的数量、IAM 服务策略、ARN 长度以及其他 IAM 和数据库属性。此令牌的最小大小通常约为 1KB，但可以更大。由于使用 IAM 身份验证将此令牌用作数据库的连接字符串中的密码，因此，您应确保您的数据库驱动程序（例如 ODBC）和/或任何工具不会因其大小而限制或以其他方式截断该令牌。截断的令牌将导致数据库和 IAM 执行的身份验证失败。

如果您在创建 IAM 数据库身份验证令牌时使用临时凭证，则在使用 IAM 数据库身份验证令牌发出连接请求时，临时凭证必须仍然有效。

aws:Referer

aws:SourceIp

aws:SourceVpc

aws:SourceVpce

aws:UserAgent

aws:VpcSourceIp