Verwenden von Datenbankrollen und IAM-Authentifizierung - Amazon Aurora DSQL
IAM-RollenIAM-BenutzerVerbindenQuery Zuordnungen anzeigenWiderrufen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von Datenbankrollen und IAM-Authentifizierung

Aurora DSQL unterstützt die Authentifizierung sowohl mit IAM-Rollen als auch mit IAM-Benutzern. Sie können beide Methoden verwenden, um Aurora DSQL-Datenbanken zu authentifizieren und auf sie zuzugreifen.

IAM-Rollen

Eine IAM-Rolle ist eine Identität innerhalb von Ihnen AWS-Konto , die über bestimmte Berechtigungen verfügt, aber keiner bestimmten Person zugeordnet ist. Das Verwenden von IAM-Rollen stellt temporäre Sicherheitsanmeldeinformationen bereit. Sie können wie folgt vorübergehend eine IAM-Rolle annehmen:

  • Durch den Rollenwechsel in der AWS-Managementkonsole

  • Durch Aufrufen einer AWS CLI oder AWS API-Operation

  • Durch die Verwendung einer benutzerdefinierten URL

Nachdem Sie eine Rolle übernommen haben, können Sie mit den temporären Anmeldeinformationen der Rolle auf Aurora DSQL zugreifen. Weitere Informationen zu Methoden für die Verwendung von Rollen finden Sie unter IAM-Identitäten im IAM-Benutzerhandbuch.

IAM-Benutzer

Ein IAM-Benutzer ist eine Identität innerhalb von Ihnen AWS-Konto , die über bestimmte Berechtigungen verfügt und einer einzelnen Person oder Anwendung zugeordnet ist. IAM-Benutzer verfügen über langfristige Anmeldeinformationen wie Passwörter und Zugriffsschlüssel, die für den Zugriff auf Aurora DSQL verwendet werden können.

Anmerkung

Um SQL-Befehle mit IAM-Authentifizierung auszuführen, können Sie in den folgenden Beispielen entweder die IAM-Rolle ARNs oder den IAM-Benutzer ARNs verwenden.

Autorisieren von Datenbankrollen für die Verbindungsherstellung zu Ihrem Cluster

Erstellen Sie eine IAM-Rolle und gewähren Sie die Verbindungsautorisierung mit der IAM-Richtlinienaktion: dsql:DbConnect.

Die IAM-Richtlinie muss eine Berechtigung für den Zugriff auf die Clusterressourcen beinhalten. Verwenden Sie einen Platzhalter (*) oder folgen Sie den Anleitungen unter Verwenden von IAM-Bedingungsschlüsseln mit Amazon Aurora DSQL.

Autorisieren von Datenbankrollen zur Verwendung von SQL in Ihrer Datenbank

Sie müssen eine autorisierte IAM-Rolle verwenden, um eine Verbindung zu Ihrem Cluster herzustellen.

  1. Stellen Sie mithilfe eines SQL-Dienstprogramms eine Verbindung zu Ihrem Aurora DSQL-Cluster her.

    Verwenden Sie die admin-Datenbankrolle mit einer IAM-Identität, die für die IAM-Aktion dsql:DbConnectAdmin autorisiert ist, um eine Verbindung zu Ihrem Cluster herzustellen.

  2. Erstellen Sie eine neue Datenbankrolle und achten Sie darauf, die WITH LOGIN-Option anzugeben.

    CREATE ROLE example WITH LOGIN;

  3. Ordnen Sie die Datenbankrolle der IAM-Rollen-ARN zu.

    AWS IAM GRANT example TO 'arn:aws:iam::012345678912:role/example';

  4. Der Datenbankrolle Berechtigungen auf Datenbankebene erteilen

    In den folgenden Beispielen wird der GRANT-Befehl verwendet, um die Autorisierung innerhalb der Datenbank bereitzustellen.

    GRANT USAGE ON SCHEMA myschema TO example;
GRANT SELECT, INSERT, UPDATE ON ALL TABLES IN SCHEMA myschema TO example;

Weitere Informationen finden Sie unter PostgreSQL GRANT und PostgreSQL-Berechtigungen in der PostgreSQL-Dokumentation.

Anzeigen der Zuordnungen von IAM- zu Datenbankrollen

Zur Anzeige der Zuordnungen von IAM-Rollen zu Datenbankrollen führen Sie eine Abfrage in der sys.iam_pg_role_mappings-Systemtabelle durch.

SELECT * FROM sys.iam_pg_role_mappings;

Beispielausgabe:

 iam_oid |                  arn                   | pg_role_oid | pg_role_name | grantor_pg_role_oid | grantor_pg_role_name
---------+----------------------------------------+-------------+--------------+---------------------+----------------------
   26398 | arn:aws:iam::012345678912:role/example |       26396 | example      |               15579 | admin
(1 row)

In dieser Tabelle werden alle Zuordnungen zwischen IAM-Rollen (identifiziert durch ihren ARN) und PostgreSQL-Datenbankrollen angegeben.

Widerrufen der Datenbankautorisierung einer IAM-Rolle

Sie verwenden die AWS IAM REVOKE-Operation, um eine Datenbankautorisierung zu widerrufen.

AWS IAM REVOKE example FROM 'arn:aws:iam::012345678912:role/example';

Weitere Informationen zum Autorisierungswiderruf finden Sie unter Widerrufen der Autorisierung mithilfe von IAM und PostgreSQL.