本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 RDS Proxy 時新增資料庫使用者
在某些情況下,您可能會將新的資料庫使用者新增至與 Proxy 相關聯的 Aurora 叢集。根據您是否使用標準身分驗證搭配 Secrets Manager 秘密或end-to-endIAM 身分驗證,繼續進行。
如果您使用標準 IAM 身分驗證,請遵循下列指示:
-
使用 設定 RDS Proxy 的資料庫登入資料 中描述的程序建立新的 Secrets Manager 秘密。
-
更新 IAM 角色,以授予 RDS Proxy 存取新 Secrets Manager 私密的權限。若要這麼做,請更新 IAM 角色政策的資源區段。
-
修改 RDS Proxy,在 Secrets Manager 密碼下新增新的 Secrets Manager 密碼。
-
如果新使用者取代了現有使用者,請為現有使用者更新儲存於代理的 Secrets Manager 秘密中的登入資料。
如果您使用的是end-to-end IAM 身分驗證,則需要建立資料庫使用者並設定 IAM 許可。若要這樣做,請進行下列步驟:
-
在資料庫中建立新的資料庫使用者,以符合您要用於身分驗證的 IAM 使用者或角色名稱。
-
確定資料庫使用者已在資料庫中設定 IAM 身分驗證外掛程式。請參閱 使用 IAM 身分驗證建立資料庫帳戶。
-
更新 IAM 政策以將
rds-db:connect許可授予 IAM 使用者或角色,如中所述建立end-to-end IAM 身分驗證的 IAM 政策。 -
確保您的代理設定為使用 IAM 身分驗證作為預設身分驗證機制。
透過end-to-end IAM 身分驗證,您不需要在 Secrets Manager 秘密中管理資料庫憑證,因為 IAM 憑證用於從用戶端到代理以及從代理到資料庫的身分驗證。
使用 RDS Proxy 時,將資料庫使用者新增至 PostgreSQL 資料庫
將新使用者新增至 PostgreSQL 資料庫時,如果您已執行下列命令:
REVOKE CONNECT ON DATABASE postgres FROM PUBLIC;
授予 rdsproxyadmin 使用者 CONNECT 權限,讓使用者可以監控目標資料庫上的連線。
GRANT CONNECT ON DATABASE postgres TO rdsproxyadmin;
您也可以透過在上述命令中將 rdsproxyadmin 變更為資料庫使用者,來允許其他目標資料庫使用者執行運作狀態檢查。
使用 RDS Proxy 時變更資料庫使用者的密碼
在某些情況下,您可能會在與 Proxy 相關聯的 Aurora 叢集中變更資料庫使用者的密碼。如果是這樣,請使用新密碼更新對應的 Secrets Manager 秘密。
如果您使用end-to-end IAM 身分驗證,則不需要更新 Secrets Manager 秘密中的任何密碼。
