Amazon RDS 的数据库身份验证 - Amazon Relational Database Service
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Amazon RDS 的数据库身份验证

Amazon RDS 支持多种对数据库用户进行身份验证的方法。

密码验证

使用密码身份验证,数据库实例将执行用户账户的所有管理。您可以使用 SQL 语句(如 CREATE USER)创建用户,并在 IDENTIFIED BY 子句中指定密码。

所有 RDS 数据库引擎都支持密码身份验证。有关密码身份验证的更多信息,请参阅数据库引擎文档。

使用密码身份验证,数据库可控制和验证用户账户。如果数据库引擎具有强大的密码管理功能,那么可以增强安全性。当您拥有较小的用户社区时,使用密码身份验证可能更易于管理数据库身份验证。因为在这种情况下会生成明文密码,因此与 AWS Secrets Manager 集成可以增强安全性。

有关将 Secrets Manager 与 Amazon RDS 结合使用的信息,请参阅 AWS Secrets Manager 用户指南 中的创建基本密钥为支持的 Amazon RDS 数据库轮换密钥。有关以编程方式在自定义应用程序中检索密钥的信息,请参阅 AWS Secrets Manager 用户指南 中的 检索密钥值

IAM 数据库身份验证

您可以使用 AWS Identity and Access Management (IAM) 数据库身份验证对您的数据库实例进行身份验证。IAM 数据库身份验证适用于 MySQL 和 PostgreSQL。利用此身份验证方法,您在连接到数据库实例时将无需使用密码。而是使用身份验证令牌。

有关 IAM 数据库身份验证的更多信息,包括特定数据库引擎的可用性信息,请参阅 适用于 MySQL 和 PostgreSQL 的 IAM 数据库身份验证

Kerberos 身份验证

Amazon RDS 支持使用 Kerberos 和 Microsoft Active Directory 对数据库用户进行外部身份验证。Kerberos 是一种网络身份验证协议,它使用票证和对称密钥加密,而不再需要通过网络传输密码。Kerberos 已内置到 Active Directory 中,用于在网络资源(如数据库)中对用户进行身份验证。

Amazon RDS 支持 Kerberos 和 Active Directory,从而为数据库用户提供单一登录和集中身份验证的好处。您可以将用户凭证保存在 Active Directory 中。Active Directory 提供了一个集中位置,以存储和管理多个数据库实例的凭证。

您可以允许数据库用户通过两种方法针对数据库实例进行身份验证。他们可以使用 AWS Directory Service for Microsoft Active Directory(企业版) 或本地 Active Directory 中存储的凭证。

Microsoft SQL Server、MySQL 和 PostgreSQL 数据库实例支持单向和双向的林信任关系。Oracle 数据库实例支持单向和双向的外部和林信任关系。有关更多信息,请参阅 AWS Directory Service 管理指南 中的何时创建信任关系

有关针对特定数据库引擎的 Kerberos 身份验证的信息,请参阅以下内容:

注意

目前,MariaDB 数据库实例不支持 Kerberos 身份验证。