Authentification et autorisation pour Aurora DSQL - Amazon Aurora DSQL

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification et autorisation pour Aurora DSQL

Aurora DSQL utilise des rôles et des politiques IAM pour l'autorisation des clusters. Vous associez des rôles IAM à des rôles de base de données PostgreSQL pour l'autorisation de base de données. Cette approche combine les avantages de l'IAM avec les privilèges de PostgreSQL. Aurora DSQL utilise ces fonctionnalités pour fournir une politique d'autorisation et d'accès complète pour votre cluster, votre base de données et vos données.

Gestion de votre cluster à l'aide d'IAM

Pour gérer votre cluster, utilisez IAM pour l'authentification et l'autorisation :

Authentification IAM

Pour authentifier votre identité IAM lorsque vous gérez des clusters Aurora DSQL, vous devez utiliser IAM. Vous pouvez fournir une authentification à l'aide du AWS Management ConsoleAWS CLI, ou du AWS SDK.

Autorisation IAM

Pour gérer les clusters Aurora DSQL, accordez l'autorisation à l'aide d'actions IAM pour Aurora DSQL. Par exemple, pour créer un cluster, assurez-vous que votre identité IAM dispose d'autorisations pour l'action IAMdsql:CreateCluster, comme dans l'exemple d'action de politique suivant.

{ "Effect": "Allow", "Action": "dsql:CreateCluster", "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/my-cluster" }

Pour de plus amples informations, veuillez consulter Utilisation des actions de politique IAM pour gérer les clusters.

Connexion à votre cluster à l'aide d'IAM

Pour vous connecter à votre cluster, utilisez IAM pour l'authentification et l'autorisation :

Authentification IAM

Générez un jeton d'authentification temporaire à l'aide d'une identité IAM autorisée à vous connecter à votre cluster. Pour en savoir plus, veuillez consulter la section Génération d'un jeton d'authentification dans Amazon Aurora DSQL.

Autorisation IAM

Accordez les actions de politique IAM suivantes à l'identité IAM que vous utilisez pour établir la connexion au point de terminaison de votre cluster :

  • À utiliser dsql:DbConnectAdmin si vous utilisez le admin rôle. Aurora DSQL crée et gère ce rôle pour vous. L'exemple d'action de politique IAM suivant permet admin de se connecter àmy-cluster.

    { "Effect": "Allow", "Action": "dsql:DbConnectAdmin", "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/my-cluster" }
  • À utiliser dsql:DbConnect si vous utilisez un rôle de base de données personnalisé. Vous créez et gérez ce rôle à l'aide des commandes SQL de votre base de données. L'exemple d'action de politique IAM suivant permet à un rôle de base de données personnalisé de my-cluster se connecter pendant une heure au maximum.

    { "Effect": "Allow", "Action": "dsql:DbConnect", "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/my-cluster" }

Une fois que vous avez établi une connexion, votre rôle est autorisé pour une durée maximale d'une heure pour la connexion.

Interaction avec votre base de données à l'aide des rôles de base de données PostgreSQL et des rôles IAM

PostgreSQL gère les autorisations d'accès aux bases de données en utilisant le concept de rôles. Un rôle peut être considéré comme un utilisateur de base de données ou un groupe d'utilisateurs de base de données, selon la façon dont le rôle est configuré. Vous créez des rôles PostgreSQL à l'aide de commandes SQL. Pour gérer les autorisations au niveau de la base de données, accordez des autorisations PostgreSQL à vos rôles de base de données PostgreSQL.

Aurora DSQL prend en charge deux types de rôles de base de données : un admin rôle et des rôles personnalisés. Aurora DSQL crée automatiquement un admin rôle prédéfini pour vous dans votre cluster Aurora DSQL. Vous ne pouvez pas modifier le admin rôle. Lorsque vous vous connectez à votre base de données en tant queadmin, vous pouvez émettre du code SQL pour créer de nouveaux rôles au niveau de la base de données à associer à vos rôles IAM. Pour permettre aux rôles IAM de se connecter à votre base de données, associez vos rôles de base de données personnalisés à vos rôles IAM.

Authentification

Utilisez le admin rôle pour vous connecter à votre cluster. Après avoir connecté votre base de données, utilisez la commande AWS IAM GRANT pour associer un rôle de base de données personnalisé à l'identité IAM autorisée à se connecter au cluster, comme dans l'exemple suivant.

AWS IAM GRANT custom-db-role TO 'arn:aws:iam::account-id:role/iam-role-name';

Pour en savoir plus, veuillez consulter la section Autoriser les rôles de base de données à se connecter à votre cluster.

Autorisation

Utilisez le admin rôle pour vous connecter à votre cluster. Exécutez des commandes SQL pour configurer des rôles de base de données personnalisés et octroyer des autorisations. Pour en savoir plus, consultez les rôles de base de données PostgreSQL et les privilèges PostgreSQL dans la documentation PostgreSQL.

Utilisation des actions de politique IAM avec Aurora DSQL

L'action de politique IAM que vous utilisez dépend du rôle que vous utilisez pour vous connecter à votre cluster : un rôle de base de données personnalisé admin ou un rôle de base de données personnalisé. La politique dépend également des actions IAM requises pour ce rôle.

Utilisation des actions de politique IAM pour se connecter aux clusters

Lorsque vous vous connectez à votre cluster avec le rôle de base de données par défaut deadmin, utilisez une identité IAM autorisée pour effectuer l'action de politique IAM suivante.

"dsql:DbConnectAdmin"

Lorsque vous vous connectez à votre cluster avec un rôle de base de données personnalisé, associez d'abord le rôle IAM au rôle de base de données. L'identité IAM que vous utilisez pour vous connecter à votre cluster doit être autorisée à exécuter l'action de politique IAM suivante.

"dsql:DbConnect"

Pour en savoir plus sur les rôles de base de données personnalisés, consultezUtilisation des rôles de base de données et de l'authentification IAM.

Utilisation des actions de politique IAM pour gérer les clusters

Lorsque vous gérez vos clusters Aurora DSQL, spécifiez des actions de stratégie uniquement pour les actions que votre rôle doit effectuer. Par exemple, si votre rôle a uniquement besoin d'obtenir des informations sur le cluster, vous pouvez limiter les autorisations de rôle aux seules ListClusters autorisations GetCluster et, comme dans l'exemple de politique suivant

JSON
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : [ "dsql:GetCluster", "dsql:ListClusters" ], "Resource": "arn:aws:dsql:us-east-1:123456789012:cluster/my-cluster" } ] }

L'exemple de stratégie suivant montre toutes les actions de stratégie IAM disponibles pour la gestion des clusters.

JSON
{ "Version" : "2012-10-17", "Statement" : [ { "Effect" : "Allow", "Action" : [ "dsql:CreateCluster", "dsql:GetCluster", "dsql:UpdateCluster", "dsql:DeleteCluster", "dsql:ListClusters", "dsql:TagResource", "dsql:ListTagsForResource", "dsql:UntagResource" ], "Resource" : "*" } ] }

Révocation d'une autorisation à l'aide d'IAM et de PostgreSQL

Vous pouvez révoquer les autorisations permettant à vos rôles IAM d'accéder à vos rôles au niveau de la base de données :

Révocation de l'autorisation d'administrateur pour se connecter aux clusters

Pour révoquer l'autorisation de connexion à votre cluster avec le admin rôle, révoquez l'accès de l'identité IAM à. dsql:DbConnectAdmin Modifiez la stratégie IAM ou détachez-la de l'identité.

Après avoir révoqué l'autorisation de connexion associée à l'identité IAM, Aurora DSQL rejette toutes les nouvelles tentatives de connexion à partir de cette identité IAM. Toute connexion active utilisant l'identité IAM peut rester autorisée pendant toute la durée de la connexion. Pour plus d'informations sur les durées de connexion, consultez la section Quotas et limites.

Révocation de l'autorisation de rôle personnalisée pour se connecter aux clusters

Pour révoquer l'accès aux rôles de base de données autrement queadmin, révoquez l'accès de l'identité IAM à. dsql:DbConnect Modifiez la stratégie IAM ou détachez-la de l'identité.

Vous pouvez également supprimer l'association entre le rôle de base de données et IAM à l'aide de la commande AWS IAM REVOKE dans votre base de données. Pour en savoir plus sur la révocation de l'accès à des rôles de base de données, consultezRévocation de l'autorisation de base de données associée à un rôle IAM.

Vous ne pouvez pas gérer les autorisations associées au rôle de admin base de données prédéfini. Pour savoir comment gérer les autorisations pour les rôles de base de données personnalisés, consultez la section Privilèges PostgreSQL. Les modifications apportées aux privilèges prennent effet lors de la transaction suivante une fois qu'Aurora DSQL a correctement validé la transaction de modification.