使用 RDS IAM 身份验证对 Amazon RDS for MySQL 数据库实例进行身份验证

问题描述 投票:0回答:1

我正在研究 RDS IAM 身份验证,但我读到令牌的有效期只有 15 分钟。这是使用身份验证令牌而不是密码将我的应用程序与 RDS 连接的好方法还是仅用于临时访问 RDS 。

我在 beanstalk 上部署了一个 php 应用程序,并且有一个我想要连接的外部 RDS aurora 实例。考虑它的生产应用程序。

请推荐。

amazon-web-services amazon-rds amazon-iam
1个回答
0
投票

一般来说,使用令牌进行身份验证是一种很好的做法,原因有两个,

  • 代币有时可以限定范围(可以做特定的事情),因此如果有人窃取了代币,他们只能做那些特定的事情,直到代币过期(这就是为什么短期过期)
  • 如果您使用用户名和密码进行身份验证并丢失它们,您将丢失您的用户名和密码。然而,如果您使用令牌并丢失令牌,您的用户名和密码仍然安全(最好避免在任何地方使用您的密码,因为它可以减少攻击面)

当可以限定令牌的范围时,系统的不同应用程序或组件可以请求不同的令牌,以匹配该应用程序或组件的确切要求。您希望避免在不需要时向应用程序和组件(以及人员)授予额外的权限。始终尝试授予所需的最低权限。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.