的 IAM 数据库身份验证

您可以使用 Amazon Identity and Access Management (IAM) 数据库身份验证对您的数据库集群进行身份验证。IAM 数据库身份验证适用于 Aurora MySQL 和 Aurora PostgreSQL。利用此身份验证方法，您在连接到数据库集群时将无需使用密码。而是使用身份验证令牌。

身份验证令牌 是 Amazon Aurora 根据请求生成的唯一字符串。身份验证令牌是使用 Amazon 签名版本 4 生成的。每个令牌的使用期限为 15 分钟。您无需将用户凭证存储在数据库中，因为身份验证是使用 IAM 进行外部管理的。此外，您仍可使用标准数据库身份验证。

IAM 数据库身份验证具有以下优势：

数据库的出站和进站网络流量是使用安全套接字层 (SSL) 或传输层安全性 (TLS) 加密的。有关将 SSL/TLS 与 Amazon Aurora 一起使用的更多信息，请参阅使用 SSL/TLS 加密与数据库集群的连接。
您可以使用 IAM 集中管理对数据库资源的访问，而不是单独管理对每个数据库集群的访问。
对于在 Amazon EC2 上运行的应用程序，您可以使用 EC2 实例特定的配置文件凭证访问数据库以提高安全性，而不是使用密码。

主题

IAM 数据库身份验证的可用性

IAM 数据库身份验证可用于以下数据库引擎：

Aurora MySQL
- Aurora MySQL 版本 2，所有次要版本
  
  有关更多信息，请参阅 Amazon Aurora MySQL 2.0 的数据库引擎更新。
- Aurora MySQL 版本 1.10 及更高的 1.1 次要版本
  
  有关更多信息，请参阅 Amazon Aurora MySQL 1.1 的数据库引擎更新。
Aurora PostgreSQL
- Aurora PostgreSQL 10.4 及更高的 10.x 版本（Aurora 版本 2.0 及更高的 2.x 版本）
- Aurora PostgreSQL 9.6.9 及更高的9.6.x 版本 (Aurora 版本 1.3 及更高的 1.x 版本）
有关更多信息，请参阅 Amazon Aurora PostgreSQL 版本和引擎版本。

对于 Aurora MySQL，除 db.t2.small 和 db.t3.small 外，所有受支持的数据库实例类都支持 IAM 数据库身份验证。有关受支持的数据库实例类的信息，请参阅数据库实例类支持的数据库引擎。

IAM 数据库身份验证的限制

使用 IAM 数据库身份验证时，以下限制适用：

数据库集群每秒的最大连接数可能会受到限制，具体取决于其数据库实例类和工作负载。
目前，IAM 数据库身份验证并不支持所有的全局条件上下文键。

有关全局条件上下文键的更多信息，请参阅 IAM 用户指南 中的 Amazon 全局条件上下文键。
目前，CNAME 不支持 IAM 数据库身份验证。
对于 PostgreSQL，如果将 IAM 角色 (rds_iam) 添加到主用户，IAM 身份验证优先于密码身份验证，因此主用户必须以 IAM 用户身份登录。

Aurora MySQL 的 IAM 数据库身份验证建议

在使用 Aurora MySQL 数据库引擎时，我们建议使用以下做法：

将 IAM 数据库身份验证用作对数据库的个人临时访问的机制。
仅对可轻松重试的工作负载使用 IAM 数据库身份验证。
当您的应用程序每秒需要少于 200 个新的 IAM 数据库身份验证连接时，请使用 IAM 数据库身份验证。

使用 Amazon Aurora 的数据库引擎不会对每秒的身份验证尝试次数施加任何限制。不过，在使用 IAM 数据库身份验证时，您的应用程序必须生成身份验证令牌。之后，您的应用程序将使用该令牌连接到数据库集群。如果超出每秒的最大新连接数限制，则 IAM 数据库身份验证的额外开销可能会导致连接受到限制。额外开销甚至可能导致现有连接中断。有关 Aurora MySQL 的最大连接总数的信息，请参阅至 Aurora MySQL 数据库实例的最大连接数。

注意

这些建议不适用于 Aurora PostgreSQL 数据库集群。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

基于身份的策略示例

启用和禁用