Utilizzo dei ruoli del database e dell'autenticazione IAM - Amazon Aurora DSQL
Ruoli IAMUtenti IAMConnessioneQuery Revoca

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dei ruoli del database e dell'autenticazione IAM

Aurora DSQL supporta l'autenticazione utilizzando sia i ruoli IAM che gli utenti IAM. È possibile utilizzare entrambi i metodi per autenticare e accedere ai database Aurora DSQL.

Ruoli IAM

Un ruolo IAM è un'identità interna all'utente Account AWS che dispone di autorizzazioni specifiche ma non è associata a una persona specifica. L'utilizzo dei ruoli IAM fornisce credenziali di sicurezza temporanee. Puoi assumere temporaneamente un ruolo IAM in diversi modi:

  • Cambiando ruolo in AWS Management Console

  • Richiamando un'operazione AWS CLI o AWS API

  • Utilizzando un URL personalizzato

Dopo aver assunto un ruolo, puoi accedere ad Aurora DSQL utilizzando le credenziali temporanee del ruolo. Per ulteriori informazioni sui metodi di utilizzo dei ruoli, consulta IAM Identities nella guida per l'utente IAM.

Utenti IAM

Un utente IAM è un'identità interna all'utente Account AWS che dispone di autorizzazioni specifiche ed è associata a una singola persona o applicazione. Gli utenti IAM dispongono di credenziali a lungo termine come password e chiavi di accesso che possono essere utilizzate per accedere ad Aurora DSQL.

Nota

Per eseguire comandi SQL con l'autenticazione IAM, puoi utilizzare il ruolo IAM ARNs o l'utente IAM ARNs negli esempi seguenti.

Autorizzazione dei ruoli del database a connettersi al cluster

Crea un ruolo IAM e concedi l'autorizzazione alla connessione con l'azione politica IAM:dsql:DbConnect.

La policy IAM deve inoltre concedere il permesso di accedere alle risorse del cluster. Usa un wildcard (*) o segui le istruzioni in Uso delle chiavi di condizione IAM con Amazon Aurora DSQL.

Autorizzazione dei ruoli del database a utilizzare SQL nel database

È necessario utilizzare un ruolo IAM con autorizzazione per connettersi al cluster.

  1. Connect al cluster Aurora DSQL utilizzando un'utilità SQL.

    Usa il ruolo del admin database con un'identità IAM autorizzata dsql:DbConnectAdmin all'azione IAM per connetterti al tuo cluster.

  2. Crea un nuovo ruolo nel database, assicurandoti di specificare l'WITH LOGINopzione.

    CREATE ROLE example WITH LOGIN;

  3. Associa il ruolo del database al ruolo IAM ARN.

    AWS IAM GRANT example TO 'arn:aws:iam::012345678912:role/example';

  4. Concedi autorizzazioni a livello di database al ruolo del database

    Negli esempi seguenti viene utilizzato il GRANT comando per fornire l'autorizzazione all'interno del database.

    GRANT USAGE ON SCHEMA myschema TO example;
GRANT SELECT, INSERT, UPDATE ON ALL TABLES IN SCHEMA myschema TO example;

Per ulteriori informazioni, consulta PostgreSQL e GRANT PostgreSQL Privileges nella documentazione di PostgreSQL.

Revoca dell'autorizzazione del database da un ruolo IAM

Per revocare l'autorizzazione del database, utilizzare l'operazione. AWS IAM REVOKE

AWS IAM REVOKE example FROM 'arn:aws:iam::012345678912:role/example';

Per ulteriori informazioni sulla revoca dell'autorizzazione, consulta. Revoca dell'autorizzazione tramite IAM e PostgreSQL