适用于 MariaDB、MySQL 和 PostgreSQL 的 IAM 数据库身份验证

数据库的出站和进站网络流量是使用安全套接字层 (SSL) 或传输层安全性 (TLS) 加密的。有关将 SSL/TLS 与 Amazon RDS 一起使用的更多信息，请参阅使用 SSL/TLS 加密与数据库实例的连接。

您可以使用 IAM 集中管理对数据库资源的访问，而不是单独管理对每个数据库实例的访问。

对于在 Amazon EC2 上运行的应用程序，您可以使用 EC2 实例特定的配置文件凭证访问数据库以提高安全性，而不是使用密码。

Amazon SDK for .NET

Amazon SDK for C++

Amazon SDK for Go

Amazon SDK for Java

Amazon SDK for JavaScript

Amazon SDK for PHP

Amazon SDK for Python (Boto3)

Amazon SDK for Ruby

数据库实例每秒的最大连接数可能会受到限制，具体取决于其数据库实例类和工作负载。

目前，IAM 数据库身份验证并不支持所有的全局条件上下文键。

有关全局条件上下文键的更多信息，请参阅《IAM 用户指南》中的 Amazon 全局条件上下文键。

对于 PostgreSQL，如果将 IAM 角色（rds_iam）添加到某个用户（包括 RDS 主用户），IAM 身份验证将优先于密码身份验证，因此该用户必须以 IAM 用户身份登录。

对于 PostgreSQL，Amazon RDS 不支持同时启用 IAM 和 Kerberos 身份验证方法。

对于 PostgreSQL，您不能使用 IAM 身份验证来建立复制连接。

当您的应用程序每秒需要少于 200 个新的 IAM 数据库身份验证连接时，请使用 IAM 数据库身份验证。

使用 Amazon RDS 的数据库引擎不会对每秒的身份验证尝试次数施加任何限制。不过，在使用 IAM 数据库身份验证时，您的应用程序必须生成身份验证令牌。之后，您的应用程序将使用该令牌连接到数据库实例。如果超出每秒的最大新连接数限制，则 IAM 数据库身份验证的额外开销可能会导致连接受到限制。

考虑在应用程序中使用连接池来减少持续的连接创建。这可以减少 IAM 数据库身份验证的开销，并允许应用程序重用现有连接。或者，考虑对这些使用案例使用 RDS 代理。RDS 代理有额外费用。请参阅 RDS 代理定价。

IAM 数据库身份验证令牌的大小取决于许多因素，包括 IAM 标签的数量、IAM 服务策略、ARN 长度以及其他 IAM 和数据库属性。此令牌的最小大小通常约为 1KB，但可以更大。由于使用 IAM 身份验证将此令牌用作数据库的连接字符串中的密码，因此，您应确保您的数据库驱动程序（例如 ODBC）和/或任何工具不会因其大小而限制或以其他方式截断该令牌。截断的令牌将导致数据库和 IAM 执行的身份验证失败。

如果您在创建 IAM 数据库身份验证令牌时使用临时凭证，则在使用 IAM 数据库身份验证令牌发出连接请求时，临时凭证必须仍然有效。

aws:Referer

aws:SourceIp

aws:SourceVpc

aws:SourceVpce

aws:UserAgent

aws:VpcSourceIp