Creazione di un account database tramite l'autenticazione IAM - Amazon Relational Database Service
Utilizzo dell'autenticazione IAM con MariaDB e MySQLUtilizzo dell'autenticazione IAM con PostgreSQL

Creazione di un account database tramite l'autenticazione IAM

Con l'autenticazione database IAM, non devi assegnare password di database agli account utente che crei. Se rimuovi un utente mappato a un account database, devi anche rimuovere l'account database con l'istruzione DROP USER.

Nota

Il nome utente utilizzato per l'autenticazione IAM deve avere lo stesso formato maiuscolo/minuscolo del nome utente nel database.

Utilizzo dell'autenticazione IAM con MariaDB e MySQL

Con MariaDB e MySQL, l'autenticazione viene gestita da AWSAuthenticationPlugin, un plug-in fornito da AWS che funziona perfettamente con IAM per autenticare gli utenti. Connettiti all'istanza database come utente master o altro utente che può creare utenti e concedere privilegi. Dopo la connessione, immetti l'istruzione CREATE USER, come mostrato nell'esempio seguente.

CREATE USER 'jane_doe' IDENTIFIED WITH AWSAuthenticationPlugin AS 'RDS';

La clausola IDENTIFIED WITH permette a MariaDB e MySQL di utilizzare AWSAuthenticationPlugin per autenticare l'account database (jane_doe). La clausola AS 'RDS' fa riferimento al metodo di autenticazione. Assicurarsi che il nome utente del database specificato sia lo stesso di una risorsa nella policy IAM per l'accesso al database IAM. Per ulteriori informazioni, consulta Creazione e utilizzo di una policy IAM per l'accesso al database IAM.

Nota

Se viene visualizzato il messaggio seguente, significa che il plug-in fornito da AWS non è disponibile per l'istanza corrente.

ERROR 1524 (HY000): Plugin 'AWSAuthenticationPlugin' is not loaded

Per correggere questo errore, assicurati di usare una configurazione supportata e di aver abilitato l'autenticazione database IAM nell'istanza database. Per ulteriori informazioni, consulta Disponibilità di regioni e versioni e Abilitazione e disabilitazione dell'autenticazione database IAM.

Dopo aver creato un account utilizzando AWSAuthenticationPlugin, lo gestisci nello stesso modo di altri account database. Ad esempio, puoi modificare i privilegi di account con le istruzioni GRANT e REVOKE o modificare vari attributi di account con l'istruzione ALTER USER.

Il traffico di rete del database viene crittografato utilizzando SSL/TLS quando si utilizza IAM. Per consentire le connessioni SSL, modifica l'account utente con il comando seguente.

ALTER USER 'jane_doe'@'%' REQUIRE SSL;

Utilizzo dell'autenticazione IAM con PostgreSQL

Per utilizzare l'autenticazione IAM con PostgreSQL, connettiti all'istanza database come utente master o altro utente che può creare utenti e concedere privilegi. Dopo la connessione, crea gli utenti di database e autorizza il ruolo rds_iam, come mostrato nell'esempio seguente.

CREATE USER db_userx; 
GRANT rds_iam TO db_userx;

Assicurarsi che il nome utente del database specificato sia lo stesso di una risorsa nella policy IAM per l'accesso al database IAM. Per ulteriori informazioni, consulta Creazione e utilizzo di una policy IAM per l'accesso al database IAM. È necessario fornire il ruolo rds_iam per utilizzare l’autenticazione IAM. È possibile utilizzare anche appartenenze nidificate o concessioni indirette del ruolo.