數據庫身份驗證與 極光 - Amazon Aurora

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

數據庫身份驗證與 極光

Aurora 支援數種驗證資料庫使用者的方法。

預設情況下,所有資料庫叢集都可以使用密碼身分驗證。對於我的 Aurora SQL 和 Aurora PostgreSQL,您也可以為相同的IAM資料庫叢集新增或同時新增資料庫驗證和 Kerberos 驗證。

密碼、Kerberos 和IAM資料庫驗證會使用不同的資料庫驗證方法。因此,特定使用者只能使用一種身分驗證方法登入資料庫。

對於 PostgreSQL,請僅針對特定資料庫的使用者使用下列其中一個角色設定:

  • 若要使用IAM資料庫驗證,請將rds_iam角色指派給使用者。

  • 若要使用 Kerberos 身分驗證,請將 rds_ad 角色指派給使用者。

  • 若要使用密碼身分驗證,請勿指派 rds_iamrds_ad 角色給使用者。

不要通過嵌套授予訪問權限直接或間接將rds_iamrds_ad角色分配給 Postgre SQL 數據庫的用戶。如果將rds_iam角色新增至主要使用者,則IAM驗證的優先順序會高於密碼驗證,因此主要使用者必須以IAM使用者身分登入。

重要

我們強烈建議您不要直接在您的應用程式中使用主要使用者。而是遵循最佳實務,使用以應用程式所需的最低權限建立的資料庫使用者。

密碼身分驗證

使用密碼身分驗證,您的資料庫會執行使用者帳戶的所有管理。您可以使用SQL語句創建用戶CREATE USER,例如,數據庫引擎指定密碼所需的適當子句。例如,在我SQL的聲明是 CREATE USER name IDENTIFIED BY password,而在波斯特格雷SQL,聲明是 CREATE USER name WITH PASSWORD password.

透過密碼身分驗證,您的資料庫可控制並驗證使用者帳戶。如果資料庫引擎具有強大的密碼管理功能,它們可以增強安全性。當您擁有較小的使用者社群時,使用密碼身分驗證來管理資料庫身分驗證可能會更容易。因為在這種情況下,純文本密碼是生成的,所以與 AWS Secrets Manager 可以增強安全性。

如需搭配 Aurora 搭配使用 Secrets Manager 的詳細資訊,請參閱「為受支援的 Amazon 資RDS料庫建立基本機密和輪換密碼」。AWS Secrets Manager 使用者指南。如需有關在自訂應用程式中以程式設計方式擷取密碼的資訊,請參閱在 AWS Secrets Manager 使用者指南

IAM 資料庫身分驗證

您可以使用以下方式向資料庫叢集 AWS Identity and Access Management (IAM) 資料庫驗證。透過此身分驗證方法,您連線至資料庫叢集時不需要使用密碼。而是改用身分驗證字符。

如需有關資IAM料庫驗證的詳細資訊,包括特定資料庫引擎可用性的相關資訊,請參閱 IAM 資料庫身分驗證

Kerberos 身分驗證

Amazon Aurora 支持使用 Kerberos 和 Microsoft 活動目錄的數據庫用戶的外部身份驗證。Kerberos 是網路身分驗證通訊協定,使用票證和對稱式金鑰加密技術,免除透過網路傳輸密碼的需要。Kerberos 已內建至 Active Directory,旨在驗證網路資源 (例如資料庫) 的使用者身分。

Amazon Aurora 支援 Kerberos 和活動目錄提供單一登入和資料庫使用者集中身份驗證的好處。您可以在 Active Directory 中保留您的使用者登入資料。Active Directory 提供集中位置存放及管理多個資料庫叢集的登入資料。

若要使用自我管理的 Active Directory 中的認證,您必須設定信任關係 AWS Directory Service 適用於叢集加入的 Microsoft 活動目錄。

Aurora Postgre SQL 和 Aurora 我SQL支援單向和雙向樹系信任關係,具有全森林驗證或選擇性驗證。

在某些情況下,您可以透過外部信任關係設定 Kerberos 驗證。這需要您的自我管理的活動目錄具有其他設置。這包括但不限於 Kerberos 森林搜尋順序。

Aurora 支援我的 Aurora 和 Aurora Postgre SQL 資料庫叢集SQL的 Kerberos 驗證。如需詳細資訊,請參閱 針對 Aurora MySQL 使用 Kerberos 身分驗證搭配 Aurora PostgreSQL 使用 Kerberos 身分驗證