Ajout d’un nouvel utilisateur de base de données lors de l’utilisation du proxy RDS - Amazon Aurora
Ajout d’un nouvel utilisateur de base de données à une base de données PostgreSQL lors de l’utilisation du proxy RDSModification des mots de passe de base de données

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Ajout d’un nouvel utilisateur de base de données lors de l’utilisation du proxy RDS

Dans certains cas, vous pouvez ajouter un nouvel utilisateur de base de données à un cluster Aurora qui est associé à un proxy. Procédez selon que vous utilisez l'authentification standard avec les secrets de Secrets Manager ou l'authentification end-to-end IAM.

Si vous utilisez l'authentification IAM standard, suivez ces instructions :

  1. Créez un nouveau secret Secrets Manager en suivant les instructions décrites dans la section Configuration des informations d'identification de base de données pour le proxy RDS.

  2. Mettez à jour le rôle IAM pour permettre au proxy RDS d’accéder au nouveau secret Secrets Manager. Pour ce faire, mettez à jour la section des ressources de la politique de rôle IAM.

  3. Modifiez le proxy RDS pour ajouter le nouveau secret de Secrets Manager sous Secrets de Secrets Manager.

  4. Si le nouvel utilisateur remplace un utilisateur existant, mettez à jour les informations d’identification stockées dans le secret Secrets Manager du proxy pour l’utilisateur existant.

Si vous utilisez l'authentification end-to-end IAM, vous devez créer l'utilisateur de base de données et configurer les autorisations IAM. Pour ce faire, suivez les étapes suivantes.

  1. Créez un nouvel utilisateur de base de données dans votre base de données qui correspond au nom d'utilisateur ou de rôle IAM que vous souhaitez utiliser pour l'authentification.

  2. Assurez-vous que l'utilisateur de la base de données est configuré avec le plug-in d'authentification IAM dans la base de données. Consultez Création d’un compte de base de données à l’aide de l’authentification IAM.

  3. Mettez à jour la politique IAM pour accorder l'rds-db:connectautorisation à l'utilisateur ou au rôle IAM, comme décrit dans. Création d'une politique IAM pour l'authentification end-to-end IAM

  4. Assurez-vous que votre proxy est configuré pour utiliser l'authentification IAM comme schéma d'authentification par défaut.

Avec l'authentification end-to-end IAM, vous n'avez pas besoin de gérer les informations d'identification de la base de données dans les secrets de Secrets Manager, car les informations d'identification IAM sont utilisées pour l'authentification du client vers le proxy et du proxy vers la base de données.

Ajout d’un nouvel utilisateur de base de données à une base de données PostgreSQL lors de l’utilisation du proxy RDS

Lorsque vous ajoutez un nouvel utilisateur à votre base de données PostgreSQL, si vous avez exécuté la commande suivante :

REVOKE CONNECT ON DATABASE postgres FROM PUBLIC;

Accordez à l’utilisateur rdsproxyadmin le privilège CONNECT afin qu’il puisse surveiller les connexions sur la base de données cible. 

GRANT CONNECT ON DATABASE postgres TO rdsproxyadmin;

Vous pouvez également autoriser d’autres utilisateurs de la base de données cible à effectuer des surveillances de l’état en modifiant rdsproxyadmin pour l’utilisateur de la base de données dans la commande ci-dessus.

Modification du mot de passe d’un utilisateur de base de données lors de l’utilisation du proxy RDS

Dans certains cas, vous pouvez modifier le mot de passe d’un utilisateur de base de données d’un cluster Aurora associé à un proxy. Le cas échéant, mettez à jour le secret Secrets Manager correspondant avec le nouveau mot de passe.

Si vous utilisez l'authentification end-to-end IAM, vous n'avez pas besoin de mettre à jour les mots de passe dans les secrets de Secrets Manager.