Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Authentification et autorisation pour Aurora DSQL
Aurora DSQL utilise des rôles et des politiques IAM pour l'autorisation des clusters. Vous associez des rôles IAM à des rôles de base de données PostgreSQL pour l'autorisation de base de données
Gestion de votre cluster à l'aide d'IAM
Pour gérer votre cluster, utilisez IAM pour l'authentification et l'autorisation :
- Authentification IAM
-
Pour authentifier votre identité IAM lorsque vous gérez des clusters Aurora DSQL, vous devez utiliser IAM. Vous pouvez fournir une authentification à l'aide du AWS Management ConsoleAWS CLI, ou du AWS SDK.
- Autorisation IAM
-
Pour gérer les clusters Aurora DSQL, accordez l'autorisation à l'aide d'actions IAM pour Aurora DSQL. Par exemple, pour créer un cluster, assurez-vous que votre identité IAM dispose d'autorisations pour l'action IAM
dsql:CreateCluster, comme dans l'exemple d'action de politique suivant.{ "Effect": "Allow", "Action": "dsql:CreateCluster", "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/my-cluster" }Pour de plus amples informations, veuillez consulter Utilisation des actions de politique IAM pour gérer les clusters.
Connexion à votre cluster à l'aide d'IAM
Pour vous connecter à votre cluster, utilisez IAM pour l'authentification et l'autorisation :
- Authentification IAM
-
Générez un jeton d'authentification temporaire à l'aide d'une identité IAM autorisée à vous connecter à votre cluster. Pour en savoir plus, veuillez consulter la section Génération d'un jeton d'authentification dans Amazon Aurora DSQL.
- Autorisation IAM
-
Accordez les actions de politique IAM suivantes à l'identité IAM que vous utilisez pour établir la connexion au point de terminaison de votre cluster :
-
À utiliser
dsql:DbConnectAdminsi vous utilisez leadminrôle. Aurora DSQL crée et gère ce rôle pour vous. L'exemple d'action de politique IAM suivant permetadminde se connecter àmy-cluster.{ "Effect": "Allow", "Action": "dsql:DbConnectAdmin", "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/my-cluster" } -
À utiliser
dsql:DbConnectsi vous utilisez un rôle de base de données personnalisé. Vous créez et gérez ce rôle à l'aide des commandes SQL de votre base de données. L'exemple d'action de politique IAM suivant permet à un rôle de base de données personnalisé demy-clusterse connecter pendant une heure au maximum.{ "Effect": "Allow", "Action": "dsql:DbConnect", "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/my-cluster" }
Une fois que vous avez établi une connexion, votre rôle est autorisé pour une durée maximale d'une heure pour la connexion.
-
Interaction avec votre base de données à l'aide des rôles de base de données PostgreSQL et des rôles IAM
PostgreSQL gère les autorisations d'accès aux bases de données en utilisant le concept de rôles. Un rôle peut être considéré comme un utilisateur de base de données ou un groupe d'utilisateurs de base de données, selon la façon dont le rôle est configuré. Vous créez des rôles PostgreSQL à l'aide de commandes SQL. Pour gérer les autorisations au niveau de la base de données, accordez des autorisations PostgreSQL à vos rôles de base de données PostgreSQL.
Aurora DSQL prend en charge deux types de rôles de base de données : un admin rôle et des rôles personnalisés. Aurora DSQL crée automatiquement un admin rôle prédéfini pour vous dans votre cluster Aurora DSQL. Vous ne pouvez pas modifier le admin rôle. Lorsque vous vous connectez à votre base de données en tant queadmin, vous pouvez émettre du code SQL pour créer de nouveaux rôles au niveau de la base de données à associer à vos rôles IAM. Pour permettre aux rôles IAM de se connecter à votre base de données, associez vos rôles de base de données personnalisés à vos rôles IAM.
- Authentification
-
Utilisez le
adminrôle pour vous connecter à votre cluster. Après avoir connecté votre base de données, utilisez la commandeAWS IAM GRANTpour associer un rôle de base de données personnalisé à l'identité IAM autorisée à se connecter au cluster, comme dans l'exemple suivant.AWS IAM GRANTcustom-db-roleTO 'arn:aws:iam::account-id:role/iam-role-name';Pour en savoir plus, veuillez consulter la section Autoriser les rôles de base de données à se connecter à votre cluster.
- Autorisation
-
Utilisez le
adminrôle pour vous connecter à votre cluster. Exécutez des commandes SQL pour configurer des rôles de base de données personnalisés et octroyer des autorisations. Pour en savoir plus, consultez les rôles de base de données PostgreSQL et les privilèges PostgreSQL dansla documentation PostgreSQL .
Utilisation des actions de politique IAM avec Aurora DSQL
L'action de politique IAM que vous utilisez dépend du rôle que vous utilisez pour vous connecter à votre cluster : un rôle de base de données personnalisé admin ou un rôle de base de données personnalisé. La politique dépend également des actions IAM requises pour ce rôle.
Utilisation des actions de politique IAM pour se connecter aux clusters
Lorsque vous vous connectez à votre cluster avec le rôle de base de données par défaut deadmin, utilisez une identité IAM autorisée pour effectuer l'action de politique IAM suivante.
"dsql:DbConnectAdmin"
Lorsque vous vous connectez à votre cluster avec un rôle de base de données personnalisé, associez d'abord le rôle IAM au rôle de base de données. L'identité IAM que vous utilisez pour vous connecter à votre cluster doit être autorisée à exécuter l'action de politique IAM suivante.
"dsql:DbConnect"
Pour en savoir plus sur les rôles de base de données personnalisés, consultezUtilisation des rôles de base de données et de l'authentification IAM.
Utilisation des actions de politique IAM pour gérer les clusters
Lorsque vous gérez vos clusters Aurora DSQL, spécifiez des actions de stratégie uniquement pour les actions que votre rôle doit effectuer. Par exemple, si votre rôle a uniquement besoin d'obtenir des informations sur le cluster, vous pouvez limiter les autorisations de rôle aux seules ListClusters autorisations GetCluster et, comme dans l'exemple de politique suivant
L'exemple de stratégie suivant montre toutes les actions de stratégie IAM disponibles pour la gestion des clusters.
Révocation d'une autorisation à l'aide d'IAM et de PostgreSQL
Vous pouvez révoquer les autorisations permettant à vos rôles IAM d'accéder à vos rôles au niveau de la base de données :
- Révocation de l'autorisation d'administrateur pour se connecter aux clusters
-
Pour révoquer l'autorisation de connexion à votre cluster avec le
adminrôle, révoquez l'accès de l'identité IAM à.dsql:DbConnectAdminModifiez la stratégie IAM ou détachez-la de l'identité.Après avoir révoqué l'autorisation de connexion associée à l'identité IAM, Aurora DSQL rejette toutes les nouvelles tentatives de connexion à partir de cette identité IAM. Toute connexion active utilisant l'identité IAM peut rester autorisée pendant toute la durée de la connexion. Pour plus d'informations sur les durées de connexion, consultez la section Quotas et limites.
- Révocation de l'autorisation de rôle personnalisée pour se connecter aux clusters
-
Pour révoquer l'accès aux rôles de base de données autrement que
admin, révoquez l'accès de l'identité IAM à.dsql:DbConnectModifiez la stratégie IAM ou détachez-la de l'identité.Vous pouvez également supprimer l'association entre le rôle de base de données et IAM à l'aide de la commande
AWS IAM REVOKEdans votre base de données. Pour en savoir plus sur la révocation de l'accès à des rôles de base de données, consultezRévocation de l'autorisation de base de données associée à un rôle IAM.
Vous ne pouvez pas gérer les autorisations associées au rôle de admin base de données prédéfini. Pour savoir comment gérer les autorisations pour les rôles de base de données personnalisés, consultez la section Privilèges PostgreSQL
