Autentikasi basis data dengan Amazon Aurora - Amazon Aurora
Autentikasi kata sandiAutentikasi basis data IAMAutentikasi Kerberos

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Autentikasi basis data dengan Amazon Aurora

Amazon Aurora mendukung beberapa cara untuk mengautentikasi pengguna database.

Autentikasi kata sandi tersedia secara default untuk semua klaster basis data. Untuk Aurora MySQL dan Aurora PostgreSQL, Anda juga dapat menambahkan salah satu atau kedua autentikasi basis data IAM dan autentikasi Kerberos bagi klaster basis data yang sama.

Autentikasi kata sandi, Kerberos, dan basis data IAM menggunakan metode autentikasi yang berbeda ke basis data. Oleh karena itu, pengguna tertentu dapat masuk ke basis data dengan menggunakan hanya satu metode autentikasi.

Untuk PostgreSQL, gunakan hanya salah satu dari setelah peran berikut untuk pengguna basis data tertentu:

  • Untuk menggunakan autentikasi basis data IAM, tetapkan peran rds_iam untuk pengguna.

  • Untuk menggunakan autentikasi Kerberos, tetapkan peran rds_ad untuk pengguna.

  • Untuk menggunakan autentikasi kata sandi, jangan tetapkan peran rds_iam atau rds_ad untuk pengguna.

Jangan tetapkan kedua peran rds_iam dan rds_ad untuk pengguna basis data PostgreSQL baik secara langsung maupun tidak langsung dengan akses pemberian bersarang. Jika peran rds_iam ditambahkan ke pengguna master, autentikasi IAM diutamakan atas autentikasi kata sandi sehingga pengguna master harus masuk sebagai pengguna IAM.

penting

Sebaiknya jangan gunakan pengguna master secara langsung di aplikasi Anda. Sebagai gantinya, ikuti praktik terbaik penggunaan pengguna basis data yang dibuat dengan privilese minimal yang diperlukan untuk aplikasi Anda.

Autentikasi kata sandi

Dengan autentikasi kata sandi, basis data Anda melakukan semua administrasi akun pengguna. Anda membuat pengguna dengan pernyataan SQL seperti CREATE USER, dengan klausa yang tepat yang diperlukan oleh mesin basis data untuk menentukan kata sandi. Misalnya, di MySQL pernyataannya adalah, sementara di PostgreSQL, pernyataannya CREATE USER name IDENTIFIED BY password adalah. CREATE USER name WITH PASSWORD password

Dengan autentikasi kata sandi, basis data Anda mengendalikan dan mengautentikasi akun pengguna. Jika mesin basis data memiliki fitur pengelolaan kata sandi kuat, mesin itu dapat meningkatkan keamanan. Autentikasi basis data mungkin lebih mudah dikelola dengan menggunakan autentikasi kata sandi apabila komunitas pengguna Anda kecil. Karena kata sandi teks yang jelas dihasilkan dalam kasus ini, mengintegrasikan dengan AWS Secrets Manager dapat meningkatkan keamanan.

Untuk informasi tentang menggunakan Secrets Manager dengan Amazon Aurora, lihat Membuat rahasia dasar dan Memutar rahasia untuk database Amazon RDS yang didukung di Panduan Pengguna.AWS Secrets Manager Lihat informasi tentang cara mengambil rahasia secara terprogram pada aplikasi kustom Anda di Mengambil nilai rahasia dalam Panduan Pengguna AWS Secrets Manager .

Autentikasi basis data IAM

Anda dapat mengautentikasi ke cluster DB Anda menggunakan otentikasi database AWS Identity and Access Management (IAM). Dengan metode otentikasi ini, Anda tidak perlu menggunakan kata sandi saat terhubung ke cluster DB. Sebagai gantinya, Anda menggunakan token autentikasi.

Untuk informasi selengkapnya tentang autentikasi database IAM, termasuk informasi tentang ketersediaan untuk mesin DB tertentu, lihat. Autentikasi basis data IAM

Autentikasi Kerberos

Amazon Aurora Amazon mendukung otentikasi eksternal pengguna database menggunakan Kerberos dan Microsoft Active Directory. Kerberos adalah protokol autentikasi jaringan yang menggunakan tiket dan kriptografi kunci simetris untuk menghilangkan kebutuhan mengirim kata sandi melalui jaringan. Kerberos telah tertanam ke dalam Active Directory dan dirancang untuk mengautentikasi pengguna ke sumber daya jaringan, seperti basis data.

Dukungan Amazon Aurora Amazon untuk Kerberos dan Active Directory memberikan manfaat sistem masuk tunggal dan otentikasi terpusat dari pengguna database. Anda dapat menyimpan kredensial pengguna Anda di Active Directory.

Untuk menggunakan kredensyal dari Active Directory yang dikelola sendiri, Anda perlu menyiapkan hubungan kepercayaan ke for AWS Directory Service Microsoft Active Directory tempat cluster DB digabungkan.

satu arah dan dua arah dengan otentikasi seluruh hutan atau otentikasi selektif.

Dalam beberapa skenario, Anda dapat mengonfigurasi otentikasi Kerberos melalui hubungan kepercayaan eksternal. Ini memerlukan Active Directory yang dikelola sendiri untuk memiliki pengaturan tambahan. Ini termasuk tetapi tidak terbatas pada Perintah Pencarian Hutan Kerberos.

Aurora mendukung autentikasi Kerberos untuk klaster basis data Aurora MySQL dan Aurora PostgreSQL. Untuk informasi lebih lanjut, lihat Menggunakan otentikasi Kerberos untuk Aurora My SQL danMenggunakan autentikasi Kerberos dengan Aurora PostgreSQL.