Amazon Relational Database Service
用户指南 (API 版本 2014-10-31)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

启用和禁用 IAM 数据库身份验证

默认情况下,已对数据库实例禁用 IAM 数据库身份验证。您可以使用 AWS 管理控制台、AWS CLI 或 API 启用 IAM 数据库身份验证(或再次将其禁用)。

PostgreSQL 数据库实例的 IAM 身份验证要求 SSL 值为 1。如果 SSL 值为 0,则无法为 PostgreSQL 数据库实例启用 IAM 身份验证。如果为 PostgreSQL 数据库实例启用了 IAM 身份验证,则无法将 SSL 值更改为 0。

控制台

要使用控制台创建采用 IAM 身份验证的新数据库实例,请参阅创建运行 MySQL 数据库引擎的数据库实例创建运行 PostgreSQL 数据库引擎的数据库实例

每个创建工作流具有一个配置高级设置页面,您可以在其中启用 IAM 数据库身份验证。在该页面的 Database Options 部分中,对于 Enable IAM DB Authentication,选择 Yes

为现有数据库实例启用或禁用 IAM 身份验证

  1. 通过以下网址打开 Amazon RDS 控制台:https://console.amazonaws.cn/rds/

  2. 在导航窗格中,选择数据库

  3. 选择要修改的数据库实例

  4. 选择修改

  5. 数据库选项部分中,对于 IAM 数据库身份验证,选择启用 IAM 数据库身份验证禁用,然后选择继续

  6. 要立即应用更改,请选择立即应用

  7. 选择修改数据库实例

还原数据库实例

  1. 通过以下网址打开 Amazon RDS 控制台:https://console.amazonaws.cn/rds/

  2. 在导航窗格中,选择 Snapshots

  3. 选择要还原的快照,然后为 Actions (操作) 选择 Restore Snapshot (还原快照)

  4. 设置部分中,在数据库实例标识符中输入数据库实例的标识符。

  5. 数据库选项部分中,对于 IAM 数据库身份验证,选择启用 IAM 数据库身份验证禁用

  6. 选择 Restore DB Instance

AWS CLI

要使用 AWS CLI 创建采用 IAM 身份验证的新数据库实例,请使用 create-db-instance 命令。指定 --enable-iam-database-authentication 选项,如以下示例中所示。

aws rds create-db-instance \ --db-instance-identifier mydbinstance \ --db-instance-class db.m3.medium \ --engine MySQL \ --allocated-storage 20 \ --master-username masterawsuser \ --master-user-password masteruserpassword \ --enable-iam-database-authentication

要更新现有的数据库集群以采用或不采用 IAM 身份验证,请使用 AWS CLI 命令 modify-db-instance。根据需要指定 --enable-iam-database-authentication--no-enable-iam-database-authentication 选项。

默认情况下,Amazon RDS 在下一个维护时段执行修改。如果您要覆盖该选项并尽快启用 IAM 数据库身份验证,请使用 --apply-immediately 参数。

以下示例说明了如何立即为现有数据库实例启用 IAM 身份验证。

aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --apply-immediately \ --enable-iam-database-authentication

如果您将还原数据库实例,请使用下列 AWS CLI 命令之一:

IAM 数据库身份验证设置默认为源快照的设置。要更改此设置,请根据需要设置 --enable-iam-database-authentication--no-enable-iam-database-authentication 选项。

RDS API

要使用 API 创建采用 IAM 身份验证的新数据库实例,请使用 API 操作 CreateDBInstance。将 EnableIAMDatabaseAuthentication 参数设置为 true

要更新现有的数据库实例以采用 IAM 身份验证,请使用 API 操作 ModifyDBInstance。将 EnableIAMDatabaseAuthentication 参数设置为 true 可启用 IAM 身份验证,将其设置为 false 可禁用 IAM 身份验证。

如果您将还原数据库实例,请使用以下 API 操作之一:

IAM 数据库身份验证设置默认为源快照的设置。要更改此设置,请将 EnableIAMDatabaseAuthentication 参数设置为 true 以启用 IAM 身份验证,或将其设置为 false 以禁用 IAM 身份验证。