Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Autentikasi basis data dengan Amazon RDS
Amazon RDS Aurora mendukung beberapa cara untuk mengautentikasi pengguna database.
Autentikasi kata sandi, Kerberos, dan basis data IAM menggunakan metode autentikasi yang berbeda ke basis data. Oleh karena itu, pengguna tertentu dapat masuk ke basis data dengan menggunakan hanya satu metode autentikasi.
Untuk PostgreSQL, gunakan hanya salah satu dari setelah peran berikut untuk pengguna basis data tertentu:
-
Untuk menggunakan autentikasi basis data IAM, tetapkan peran
rds_iamuntuk pengguna. -
Untuk menggunakan autentikasi Kerberos, tetapkan peran
rds_aduntuk pengguna. -
Untuk menggunakan autentikasi kata sandi, jangan tetapkan peran
rds_iamataurds_aduntuk pengguna.
Jangan tetapkan kedua peran rds_iam dan rds_ad untuk pengguna basis data PostgreSQL baik secara langsung maupun tidak langsung dengan akses pemberian bersarang. Jika peran rds_iam ditambahkan ke pengguna master, autentikasi IAM diutamakan atas autentikasi kata sandi sehingga pengguna master harus masuk sebagai pengguna IAM.
penting
Sebaiknya jangan gunakan pengguna master secara langsung di aplikasi Anda. Sebagai gantinya, ikuti praktik terbaik penggunaan pengguna basis data yang dibuat dengan privilese minimal yang diperlukan untuk aplikasi Anda.
Autentikasi kata sandi
Dengan autentikasi kata sandi, basis data Anda melakukan semua administrasi akun pengguna. Anda membuat pengguna dengan pernyataan SQL seperti CREATE USER, dengan klausa yang tepat yang diperlukan oleh mesin basis data untuk menentukan kata sandi. Misalnya, di MySQL pernyataannya adalah, sementara di PostgreSQL, pernyataannya CREATE
USER name IDENTIFIED BY password adalah. CREATE USER name WITH PASSWORD password
Dengan autentikasi kata sandi, basis data Anda mengendalikan dan mengautentikasi akun pengguna. Jika mesin basis data memiliki fitur pengelolaan kata sandi kuat, mesin itu dapat meningkatkan keamanan. Autentikasi basis data mungkin lebih mudah dikelola dengan menggunakan autentikasi kata sandi apabila komunitas pengguna Anda kecil. Karena kata sandi teks yang jelas dihasilkan dalam kasus ini, mengintegrasikan dengan AWS Secrets Manager dapat meningkatkan keamanan.
Untuk informasi tentang menggunakan Secrets Manager dengan Amazon RDS Aurora, lihat Membuat rahasia dasar dan Memutar rahasia untuk database Amazon RDS yang didukung di Panduan Pengguna.AWS Secrets Manager Lihat informasi tentang cara mengambil rahasia secara terprogram pada aplikasi kustom Anda di Mengambil nilai rahasia dalam Panduan Pengguna AWS Secrets Manager .
Autentikasi basis data IAM
Anda dapat mengautentikasi ke instans DB Anda menggunakan otentikasi database AWS Identity and Access Management (IAM). Dengan metode otentikasi ini, Anda tidak perlu menggunakan kata sandi saat terhubung ke instans DB. Sebagai gantinya, Anda menggunakan token autentikasi.
Untuk informasi selengkapnya tentang autentikasi database IAM, termasuk informasi tentang ketersediaan untuk mesin DB tertentu, lihat. Autentikasi basis data IAM untuk MariaDB, MySQL, dan PostgreSQL
Autentikasi Kerberos
RDS mendukung otentikasi eksternal pengguna database menggunakan Kerberos dan Microsoft Active Directory. Kerberos adalah protokol autentikasi jaringan yang menggunakan tiket dan kriptografi kunci simetris untuk menghilangkan kebutuhan mengirim kata sandi melalui jaringan. Kerberos telah tertanam ke dalam Active Directory dan dirancang untuk mengautentikasi pengguna ke sumber daya jaringan, seperti basis data.
Dukungan RDS untuk Kerberos dan Active Directory memberikan manfaat sistem masuk tunggal dan otentikasi terpusat dari pengguna database. Anda dapat menyimpan kredensial pengguna Anda di Active Directory.
Untuk menggunakan kredensyal dari Active Directory yang dikelola sendiri, Anda perlu menyiapkan hubungan kepercayaan ke for AWS Directory Service Microsoft Active Directory tempat .
RDS untuk PostgreSQL dan RDS untuk MySQL Aurora PostgreSQL dan Aurora MySQL mendukung hubungan kepercayaan hutan .
Dalam beberapa skenario, Anda dapat mengonfigurasi otentikasi Kerberos melalui hubungan kepercayaan eksternal. Ini memerlukan Active Directory yang dikelola sendiri untuk memiliki pengaturan tambahan. Ini termasuk tetapi tidak terbatas pada Perintah Pencarian Hutan Kerberos
Microsoft SQL Server dan PostgreSQL DB instance mendukung hubungan kepercayaan hutan satu arah dan dua arah. Instans Oracle DB mendukung hubungan kepercayaan eksternal dan hutan satu arah dan dua arah. Lihat informasi yang lebih lengkap di Kapan sebaiknya menciptakan hubungan kepercayaan dalam Panduan Administrasi AWS Directory Service .
Lihat informasi tentang autentikasi Kerberos dengan mesin basis data tertentu di:
catatan
Saat ini, autentikasi Kerberos tidak didukung untuk instans basis data MariaDB.
