AI Agent、自动化工具的使用越来越广泛,在这一趋势下,数据库连接的“身份验证”环节被重新审视。传统的密码证方式不能满足临时授权、最小权限粒度和安全审计这三个安全需求。现如今,IAM 数据库身份验证已经逐渐成为云数据库的主流选择。本文会为您介绍火山引擎云数据库 MySQL 版 IAM 鉴权能力。
在传统的数据库连接方式中,开发者会把数据库账号和密码以明文的形式写在配置文件、CI/CD 变量或代码仓库中。这种写法虽然简单方便,但是也会存在很多安全风险问题,例如:
密码泄露:密码被写入仓库或日志后,就会造成“永久泄露”。即便开发者在后续修改了数据库账号的密码,历史中已经存在的安全风险也没有办法被完全消除。
账号权限滥用:开发者在业务侧通常会使用高权限账号操作数据库,没有按照不同职责为不同角色分配权限,在人员变动或者是业务变更之后,也没有及时回收账号的权限。
修改密码成本高:修改数据库账号密码后,也需要同步修改业务代码中的配置并重启服务,流程较长且繁琐,操作成本也很高。
AI Agent、自动化工具的使用越来越广泛,上述安全风险会在 AI Agent 场景下被进一步放大。开发者在使用 Agent 工具访问数据库时,不想把长期密码明文暴露在工具中,也不想每次连接数据库都手动输入密码,更希望能使用 "按需获取、自动过期回收、被 IAM 集中管控" 的临时凭证访问数据库。
为了解决上述安全风险问题并满足开发者的安全需求,火山引擎云数据库 MySQL 版提供了 IAM 数据库身份验证(IAM DB Authentication)能力,它把连接数据库时要填写的密码替换成了由身份与访问管理服务(IAM)签发的临时令牌(Token),临时令牌 Token 需要设置过期时间,且权限由 IAM 体系集中管理,从根源上解决了“长期密码”的安全风险问题。
二、火山引擎云数据库 MySQL 版的 IAM 鉴权能力
在功能设计上,火山引擎云数据库 MySQL 版的 IAM 鉴权能力致力于实现以下两个目标:
在产品体验上,我们希望 IAM 鉴权能力能更符合开发者的使用习惯,无论是在控制台生成临时 Token,还是通过 SDK 在应用代码中直接获取临时令牌,都尽量低改造成本并做到开箱即用。
火山引擎云数据库 MySQL 版的 IAM 鉴权能力体现在以下几个页面:
1. 创建账号页面:新增“验证类型”选项
在创建数据库账号时,开发者可以根据业务需求选择验证类型:
⚠️ 注意:不支持为高权限账号选择 IAM 验证,避免高权限凭证被错误地纳入临时令牌体系。
2. 账号管理页面:新增“验证类型”列和“生成临时 Token”的按钮
在账号管理页面,列表会新增"验证类型"列,让数据库管理员能一眼区分每个数据库账号的验证类型。如果数据库账号的验证类型为 IAM 验证,则会在账号的操作列新增生成临时 Token 的按钮, 点击后会生成一个临时 Token,并且需要选择临时 Token 的有效期,每次点击都会生成一个全新的临时 Token,不保存历史 Token,但支持下载临时 Token。
3. SDK 生成 Token:更符合开发者的使用习惯
开发者可以通过火山引擎 SDK 生成临时 Token,并把临时 Token 作为密码传给 MySQL 客户端,让应用代码的改造成本降到最低。示例如下:
生成临时 Token:
TOKEN=$(volc rds generate-db-auth-token \ --region cn-beijing \ --instanceId mysql-74dsxxxxxx \ --dbUser mysql_test \ --expires 600)
将临时 Token 作为密码传给 MySQL 客户端:
mysql -h$RDSHOST -umysql_test --enable-cleartext-plugin -p$TOKEN
数据库密码配置简单,是一种使用了多年的数据库验证方式,但是在如今云原生与 AI 时代的背景下,密码显得越来越“笨重”,它虽然是长期有效,不会过期的,但是不能进行安全审计、也很难做到权限最小化。
IAM 鉴权能力也并不只是简单的把数据库密码换成临时 Token ,而是推动数据库认证从密码凭据模式升级为一体化统一身份体系,所有的连接请求都由 IAM 体系集中管理、审计、失效过期回收。在 AI Agent、自动化工具常态化访问数据库的趋势下,统一身份体系的安全价值会更加重要。
火山引擎云数据库 MySQL 版的 IAM 鉴权能力,希望能成为您和数据库“交互&通讯”的更安全、更优雅的方式。
