Menggunakan peran database dan otentikasi IAM - Amazon Aurora DSQL
Peran IAMPengguna IAMHubungkanKueri Mencabut

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan peran database dan otentikasi IAM

Aurora DSQL mendukung otentikasi menggunakan peran IAM dan pengguna IAM. Anda dapat menggunakan salah satu metode untuk mengautentikasi dan mengakses database Aurora DSQL.

Peran IAM

Peran IAM adalah identitas dalam diri Anda Akun AWS yang memiliki izin tertentu tetapi tidak terkait dengan orang tertentu. Menggunakan peran IAM memberikan kredensil keamanan sementara. Anda dapat mengambil peran IAM untuk sementara dalam beberapa cara:

  • Dengan beralih peran di AWS Management Console

  • Dengan memanggil operasi AWS CLI atau AWS API

  • Dengan menggunakan URL kustom

Setelah mengambil peran, Anda dapat mengakses Aurora DSQL menggunakan kredensyal sementara peran. Untuk informasi selengkapnya tentang metode penggunaan peran, lihat Identitas IAM di panduan pengguna IAM.

Pengguna IAM

Pengguna IAM adalah identitas dalam diri Anda Akun AWS yang memiliki izin khusus dan dikaitkan dengan satu orang atau aplikasi. Pengguna IAM memiliki kredensyal jangka panjang seperti kata sandi dan kunci akses yang dapat digunakan untuk mengakses Aurora DSQL.

catatan

Untuk menjalankan perintah SQL dengan otentikasi IAM, Anda dapat menggunakan peran IAM ARNs atau pengguna ARNs IAM dalam contoh di bawah ini.

Mengotorisasi peran database untuk terhubung ke klaster Anda

Buat peran IAM dan berikan otorisasi koneksi dengan tindakan kebijakan IAM:. dsql:DbConnect

Kebijakan IAM juga harus memberikan izin untuk mengakses sumber daya klaster. Gunakan wildcard (*) atau ikuti petunjuk di Menggunakan kunci kondisi IAM dengan Amazon Aurora DSQL.

Mengotorisasi peran database untuk menggunakan SQL dalam database Anda

Anda harus menggunakan peran IAM dengan otorisasi untuk terhubung ke cluster Anda.

  1. Connect ke cluster Aurora DSQL Anda menggunakan utilitas SQL.

    Gunakan peran admin database dengan identitas IAM yang diotorisasi untuk tindakan IAM untuk terhubung dsql:DbConnectAdmin ke cluster Anda.

  2. Buat peran database baru, pastikan untuk menentukan WITH LOGIN opsi.

    CREATE ROLE example WITH LOGIN;

  3. Kaitkan peran database dengan peran IAM ARN.

    AWS IAM GRANT example TO 'arn:aws:iam::012345678912:role/example';

  4. Berikan izin tingkat database ke peran database

    Contoh berikut menggunakan GRANT perintah untuk memberikan otorisasi dalam database.

    GRANT USAGE ON SCHEMA myschema TO example;
GRANT SELECT, INSERT, UPDATE ON ALL TABLES IN SCHEMA myschema TO example;

Untuk informasi selengkapnya, lihat PostgreSQL dan GRANT PostgreSQL Privileges dalam dokumentasi PostgreSQL.

Mencabut otorisasi database dari peran IAM

Untuk mencabut otorisasi database, gunakan operasi. AWS IAM REVOKE

AWS IAM REVOKE example FROM 'arn:aws:iam::012345678912:role/example';

Untuk mempelajari lebih lanjut tentang mencabut otorisasi, lihat. Mencabut otorisasi menggunakan IAM dan PostgreSQL