Authentification et autorisation pour Aurora DSQL - Amazon Aurora DSQL
Gestion de votre clusterConnexion à votre clusterRôles PostgreSQL et IAMUtilisation des actions de politique IAM avec Aurora DSQLRévocation d’une autorisation à l’aide d’IAM et de PostgreSQL

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification et autorisation pour Aurora DSQL

Aurora DSQL utilise des rôles et des politiques IAM pour l’autorisation des clusters. Vous associez des rôles IAM à des rôles de base de données PostgreSQL pour l’autorisation de base de données. Cette approche combine les avantages d’IAM avec les privilèges de PostgreSQL. Aurora DSQL utilise ces fonctionnalités pour fournir une stratégie d’autorisation et d’accès complète pour votre cluster, votre base de données et vos données.

Gestion de votre cluster à l’aide d’IAM

Pour gérer votre cluster, utilisez IAM pour l’authentification et l’autorisation :

Authentification IAM

Pour authentifier votre identité IAM lorsque vous gérez des clusters Aurora DSQL, vous devez utiliser IAM. Vous pouvez fournir une authentification à l’aide de la AWS Management Console, l’AWS CLI ou le lit AWS SDK.

Autorisation IAM

Pour gérer les clusters Aurora DSQL, accordez l’autorisation à l’aide d’actions IAM pour Aurora DSQL. Par exemple, pour décrire un cluster, assurez-vous que votre identité IAM dispose d’autorisations pour l’action IAM dsql:GetCluster, comme dans l’exemple d’action de politique suivant.

{
  "Effect": "Allow",
  "Action": "dsql:GetCluster",
  "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/my-cluster"
}

Pour de plus amples informations, veuillez consulter Utilisation des actions de politique IAM pour gérer les clusters.

Connexion à votre cluster à l’aide d’IAM

Pour connecter votre cluster, utilisez IAM pour l’authentification et l’autorisation :

Authentification IAM

Générez un jeton d’authentification temporaire à l’aide d’une identité IAM avec l’autorisation de se connecter à votre cluster. Pour en savoir plus, consultez Création d’un jeton d’authentification dans Amazon Aurora DSQL .

Autorisation IAM

Accordez les actions de politique IAM suivantes à l’identité IAM que vous utilisez pour établir la connexion au point de terminaison de votre cluster :

  • Utilisez dsql:DbConnectAdmin si vous utilisez le rôle admin. Aurora DSQL crée et gère ce rôle pour vous. L'exemple d'action de politique IAM suivant permet admin de se connecter àmy-cluster.

    {
  "Effect": "Allow",
  "Action": "dsql:DbConnectAdmin",
  "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/my-cluster"
}

  • Utilisez dsql:DbConnect si vous utilisez un rôle de base de données personnalisé. Vous créez et gérez ce rôle à l’aide des commandes SQL de votre base de données. L'exemple d'action de politique IAM suivant permet à un rôle de base de données personnalisé de my-cluster se connecter pendant une heure au maximum.

    {
  "Effect": "Allow",
  "Action": "dsql:DbConnect",
  "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/my-cluster"
}

Une fois que vous avez établi une connexion, votre rôle est autorisé pour une durée maximale d’une heure pour la connexion.

Interaction avec votre base de données à l’aide des rôles de base de données PostgreSQL et des rôles IAM

PostgreSQL gère les autorisations d’accès aux bases de données en utilisant le concept de rôles. Un rôle peut être considéré comme un utilisateur de base de données ou un groupe d’utilisateurs de base de données, selon la façon dont le rôle est configuré. Vous créez des rôles PostgreSQL à l’aide de commandes SQL. Pour gérer les autorisations au niveau de la base de données, accordez des autorisations PostgreSQL à vos rôles de base de données PostgreSQL.

Aurora DSQL prend en charge deux types de rôles de base de données : un rôle admin et des rôles personnalisés. Aurora DSQL crée automatiquement un rôle admin prédéfini pour vous dans votre cluster Aurora DSQL. Vous ne pouvez pas modifier le rôle admin. Lorsque vous vous connectez à votre base de données en tant que admin, vous pouvez émettre un SQL pour créer de nouveaux rôles au niveau de la base de données à associer à vos rôles IAM. Pour permettre aux rôles IAM de se connecter à votre base de données, associez vos rôles de base de données personnalisés à vos rôles IAM.

Authentification

Utilisez le rôle admin pour vous connecter à votre cluster. Après avoir connecté votre base de données, utilisez la commande AWS IAM GRANT pour associer un rôle de base de données personnalisé à l’identité IAM autorisée à se connecter au cluster, comme dans l’exemple suivant.

AWS IAM GRANT custom-db-role TO 'arn:aws:iam::account-id:role/iam-role-name';

Pour en savoir plus, consultez Autoriser les rôles de base de données à se connecter à votre cluster.

Autorisation

Utilisez le rôle admin pour vous connecter à votre cluster. Exécutez des commandes SQL pour configurer des rôles de base de données personnalisés et octroyer des autorisations. Pour plus d’informations, consultez Rôles de base de données PostgreSQL et Privilèges PostgreSQL dans la documentation PostgreSQL.

Utilisation des actions de politique IAM avec Aurora DSQL

L’action de politique IAM que vous utilisez dépend du rôle que vous utilisez pour vous connecter à votre cluster : un rôle admin ou un rôle de base de données personnalisé. La politique dépend également des actions IAM requises pour ce rôle.

Utilisation des actions de politique IAM pour se connecter aux clusters

Lorsque vous vous connectez à votre cluster avec le rôle de base de données par défaut de admin, utilisez une identité IAM autorisée pour effectuer l’action de politique IAM suivante.

"dsql:DbConnectAdmin"

Lorsque vous vous connectez à votre cluster avec un rôle de base de données personnalisé, associez d’abord le rôle IAM au rôle de base de données. L’identité IAM que vous utilisez pour vous connecter à votre cluster doit être autorisée à exécuter l’action de politique IAM suivante.

"dsql:DbConnect"

Pour plus d’informations sur les rôles de base de données personnalisés, consultez Utilisation des rôles de base de données et de l’authentification IAM.

Utilisation des actions de politique IAM pour gérer les clusters

Lorsque vous gérez vos clusters Aurora DSQL, spécifiez des actions de politique uniquement pour les actions que votre rôle doit effectuer. Par exemple, si votre rôle n’a besoin que d’obtenir des informations sur les clusters, vous pouvez limiter les autorisations du rôle aux seules autorisations GetCluster et ListClusters, comme dans l’exemple de politique suivant

JSON
{
"Version":"2012-10-17",		 	 	 
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "dsql:GetCluster",
        "dsql:ListClusters"
      ],
      "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/my-cluster"
    }
  ]
}

L’exemple de politique suivant montre toutes les actions de politique IAM disponibles pour la gestion des clusters.

JSON
{
"Version":"2012-10-17",		 	 	 
  "Statement" : [
    {
      "Effect" : "Allow",
      "Action" : [
        "dsql:CreateCluster",
        "dsql:GetCluster",
        "dsql:UpdateCluster",
        "dsql:DeleteCluster",
        "dsql:ListClusters",
        "dsql:TagResource",
        "dsql:ListTagsForResource",
        "dsql:UntagResource"
      ],
      "Resource" : "*"
    }
  ]
}

Révocation d’une autorisation à l’aide d’IAM et de PostgreSQL

Vous pouvez révoquer les autorisations permettant à vos rôles IAM d’accéder à vos rôles au niveau de la base de données :

Révocation de l’autorisation d’administrateur pour se connecter aux clusters

Pour révoquer l’autorisation de connexion à votre cluster avec le rôle admin, révoquez l’accès de l’identité IAM à dsql:DbConnectAdmin. Modifiez la politique IAM ou détachez la politique de l’identité.

Après avoir révoqué l’autorisation de connexion associée à l’identité IAM, Aurora DSQL rejette toutes les nouvelles tentatives de connexion à partir de cette identité IAM. Toute connexion active utilisant l’identité IAM peut rester autorisée pendant toute la durée de la connexion. Pour plus d’informations sur les durées de connexion, consultez Quotas et limites.

Révocation de l’autorisation d’un rôle personnalisé pour se connecter aux clusters

Pour révoquer l’accès aux rôles de base de données autres admin, révoquez l’accès de l’identité IAM à dsql:DbConnect. Modifiez la politique IAM ou détachez la politique de l’identité.

Vous pouvez également supprimer l’association entre le rôle de base de données et IAM à l’aide de la commande AWS IAM REVOKE dans votre base de données. Pour plus d’informations sur la révocation de l’accès à des rôles de base de données, consultez Révocation de l’autorisation d’une base de données à partir d’un rôle IAM.

Vous ne pouvez pas gérer les autorisations associées au rôle de base de données admin prédéfini. Pour savoir comment gérer les autorisations pour les rôles de base de données personnalisés, consultez Privilèges PostgreSQL. Les modifications apportées aux privilèges prennent effet lors de la transaction suivante, après qu’Aurora DSQL a validé la transaction de modification.