本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
啟用和停用 IAM 資料庫身分驗證
依預設,資料庫執行個體上會停用 IAM 資料庫身分驗證。您可以使用 AWS Management Console AWS CLI或 API 啟用或停用 IAM 資料庫身分驗證。
您可以在執行下列其中一個動作時啟用 IAM 資料庫身分驗證:
-
若要建立啟用 IAM 資料庫身分驗證的新資料庫執行個體,請參閱建立 Amazon RDS 資料庫執行個體。
-
若要修改資料庫執行個體以啟用 IAM 資料庫身分驗證,請參閱修改 Amazon RDS 資料庫執行個體。
-
如要從啟用 IAM 資料庫身分驗證的快照還原資料庫執行個體,請參閱 還原至資料庫執行個體。
-
若要在啟用 IAM 資料庫身分驗證的情況下,將資料庫執行個體叢集還原至某個時間點,請參閱將資料庫執行個體還原至 Amazon RDS 的指定時間。
PostgreSQL 資料庫執行個體的 IAM 身分驗證要求 SSL 值為 1。如果 SSL 值為 0,您即無法啟用 PostgreSQL 資料庫執行個體的 IAM 身分驗證。如果對於 PostgreSQL 資料庫執行個體啟用 IAM 身分驗證,則無法將 SSL 值變更為 0。
每個建立或修改工作流程都有一個 Database authentication (資料庫身分驗證) 區段,您可以在其中啟用或停用 IAM 資料庫身分驗證。在該區段中,選擇 Password and IAM database authentication (密碼和 IAM 資料庫身分驗證) 以啟用 IAM 資料庫身分驗證。
為現有資料庫執行個體啟用或停用 IAM 資料庫身分驗證
前往 https://console.aws.amazon.com/rds/
,開啟 Amazon RDS 主控台。 -
在導覽窗格中,選擇 Databases (資料庫)。
-
選擇想要修改的資料庫執行個體。
注意
確認資料庫執行個體與 IAM 身分驗證相容。查看 區域和版本可用性 中的相容性要求。
-
選擇 Modify (修改)。
-
在 Database authentication (資料庫驗證) 區段中,選擇 Password and IAM database authentication (密碼和 IAM 資料庫身分驗證) 以啟用 IAM 資料庫身分驗證。選擇密碼身分驗證或密碼和 Kerberos 身分驗證以停用 IAM 身分驗證。
-
您也可以選擇啟用將 IAM 資料庫身分驗證日誌發佈至 CloudWatch Logs。在日誌匯出下,選擇 iam-db-auth-error 日誌選項。將日誌發佈至 CloudWatch Logs 會耗用儲存體,而您需為該儲存體支付費用。請務必刪除您不再需要的任何 CloudWatch Logs。
-
選擇 Continue (繼續)。
-
若要立即套用變更,請在 Scheduling of modifications (修改排程) 區段中選擇 Immediately (立即)。
-
選擇 Modify DB instance (修改資料庫執行個體) 。
若要使用 建立具有 IAM 身分驗證的新資料庫執行個體 AWS CLI,請使用 create-db-instance命令。指定 --enable-iam-database-authentication 選項,如以下範例所示。
aws rds create-db-instance \ --db-instance-identifiermydbinstance\ --db-instance-classdb.m3.medium\ --engineMySQL\ --allocated-storage20\ --master-usernamemasterawsuser\ --manage-master-user-password \ --enable-iam-database-authentication
若要將現有資料庫執行個體更新為進行或不進行 IAM 身分驗證,請使用 AWS CLI
命令 modify-db-instance。視需要指定 --enable-iam-database-authentication 或 --no-enable-iam-database-authentication 選項。
注意
確認資料庫執行個體與 IAM 身分驗證相容。查看 區域和版本可用性 中的相容性要求。
依預設,Amazon RDS 會在下一次維護時段執行修改。如果您不想等待,而希望儘快啟用 IAM 資料庫身分驗證,請使用 --apply-immediately 參數。
以下範例示範如何對現有的資料庫執行個體立即啟用 IAM 身分驗證。
aws rds modify-db-instance \ --db-instance-identifiermydbinstance\ --apply-immediately \ --enable-iam-database-authentication
如果您要還原資料庫執行個體,請使用下列其中一個 AWS CLI 命令:
IAM 資料庫身分驗證設定預設為來源快照的設定。若要變更此設定,請視需要設定 --enable-iam-database-authentication 或 --no-enable-iam-database-authentication 選項。
若要使用 API 建立支援 IAM 身分驗證的新資料庫執行個體,請使用 API 操作 CreateDBInstance。將 EnableIAMDatabaseAuthentication 參數設為 true。
若要更新現有資料庫執行個體進行或不進行 IAM 身分驗證,請使用 API 操作 ModifyDBInstance。將 EnableIAMDatabaseAuthentication 參數設為 true 以啟用 IAM 身分驗證,或設為 false 表示停用。
注意
確認資料庫執行個體與 IAM 身分驗證相容。查看 區域和版本可用性 中的相容性要求。
如果您要還原資料庫執行個體,請使用下列其中一個 API 操作:
IAM 資料庫身分驗證設定預設為來源快照的設定。若要變更此設定,請將 EnableIAMDatabaseAuthentication 參數設為 true 以啟用 IAM 身分驗證,或設為 false 表示停用。
