Verwenden von Datenbankrollen und IAM-Authentifizierung - Amazon Aurora DSQL
IAM-RollenIAM-BenutzerVerbindenAbfrage Widerrufen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Datenbankrollen und IAM-Authentifizierung

Aurora DSQL unterstützt die Authentifizierung sowohl mit IAM-Rollen als auch mit IAM-Benutzern. Sie können beide Methoden verwenden, um Aurora DSQL-Datenbanken zu authentifizieren und darauf zuzugreifen.

IAM-Rollen

Eine IAM-Rolle ist eine Identität innerhalb Ihres Unternehmens AWS-Konto , die über bestimmte Berechtigungen verfügt, aber keiner bestimmten Person zugeordnet ist. Mithilfe von IAM-Rollen werden temporäre Sicherheitsanmeldedaten bereitgestellt. Sie können vorübergehend eine IAM-Rolle auf verschiedene Arten übernehmen:

  • Durch den Rollenwechsel in der AWS Management Console

  • Durch Aufrufen einer AWS CLI oder AWS API-Operation

  • Durch die Verwendung einer benutzerdefinierten URL

Nachdem Sie eine Rolle übernommen haben, können Sie mit den temporären Anmeldeinformationen der Rolle auf Aurora DSQL zugreifen. Weitere Informationen zu Methoden zur Verwendung von Rollen finden Sie unter IAM-Identitäten im IAM-Benutzerhandbuch.

IAM-Benutzer

Ein IAM-Benutzer ist eine Identität innerhalb Ihres Unternehmens AWS-Konto , die über bestimmte Berechtigungen verfügt und einer einzelnen Person oder Anwendung zugeordnet ist. IAM-Benutzer verfügen über langfristige Anmeldeinformationen wie Passwörter und Zugriffsschlüssel, die für den Zugriff auf Aurora DSQL verwendet werden können.

Anmerkung

Um SQL-Befehle mit IAM-Authentifizierung auszuführen, können Sie in den folgenden Beispielen entweder die IAM-Rolle ARNs oder den IAM-Benutzer ARNs verwenden.

Autorisieren von Datenbankrollen, um eine Verbindung zu Ihrem Cluster herzustellen

Erstellen Sie eine IAM-Rolle und gewähren Sie die Verbindungsautorisierung mit der IAM-Richtlinienaktion:. dsql:DbConnect

Die IAM-Richtlinie muss auch die Erlaubnis für den Zugriff auf die Clusterressourcen gewähren. Verwenden Sie einen Platzhalter (*) oder folgen Sie den Anweisungen unter Verwenden von IAM-Bedingungsschlüsseln mit Amazon Aurora DSQL.

Autorisieren von Datenbankrollen zur Verwendung von SQL in Ihrer Datenbank

Sie müssen eine IAM-Rolle mit Autorisierung verwenden, um eine Verbindung zu Ihrem Cluster herzustellen.

  1. Stellen Sie mithilfe eines SQL-Dienstprogramms eine Connect zu Ihrem Aurora DSQL-Cluster her.

    Verwenden Sie die admin Datenbankrolle mit einer IAM-Identität, die für IAM-Aktionen autorisiert ist, um eine Verbindung dsql:DbConnectAdmin zu Ihrem Cluster herzustellen.

  2. Erstellen Sie eine neue Datenbankrolle und achten Sie darauf, die WITH LOGIN Option anzugeben.

    CREATE ROLE example WITH LOGIN;

  3. Ordnen Sie die Datenbankrolle der IAM-Rolle ARN zu.

    AWS IAM GRANT example TO 'arn:aws:iam::012345678912:role/example';

  4. Erteilen Sie der Datenbankrolle Berechtigungen auf Datenbankebene

    In den folgenden Beispielen wird der GRANT Befehl verwendet, um die Autorisierung innerhalb der Datenbank bereitzustellen.

    GRANT USAGE ON SCHEMA myschema TO example;
GRANT SELECT, INSERT, UPDATE ON ALL TABLES IN SCHEMA myschema TO example;

Weitere Informationen finden Sie unter PostgreSQL GRANT und PostgreSQL-Privilegien in der PostgreSQL-Dokumentation.

Widerrufen der Datenbankautorisierung für eine IAM-Rolle

Verwenden Sie den AWS IAM REVOKE Vorgang, um die Datenbankautorisierung zu widerrufen.

AWS IAM REVOKE example FROM 'arn:aws:iam::012345678912:role/example';

Weitere Informationen zum Widerrufen der Autorisierung finden Sie unterWiderrufen der Autorisierung mit IAM und PostgreSQL.