View a markdown version of this page

Comparaison entre Aurora MySQL version 3 et Aurora MySQL version 8.4 - Amazon Aurora
Authentification et sécuritéGestion des mots de passeModifications des paramètres par défautPrivilèges et rôles

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comparaison entre Aurora MySQL version 3 et Aurora MySQL version 8.4

La version 8.4 d'Amazon Aurora MySQL apporte des améliorations et des modifications importantes par rapport à la version 3 d'Aurora MySQL (compatible avec MySQL 8.0). Ce guide met en évidence les principales différences afin de vous aider à comprendre ce qui est nouveau et ce qui a changé.

Authentification et sécurité

Gestion des plugins d'authentification

Aurora MySQL version 3 utilise le default_authentication_plugin paramètre pour configurer le plugin d'authentification par défaut pour les nouveaux utilisateurs de base de données.

La version 8.4 d'Aurora MySQL remplace le authentication_policy paramètre default_authentication_plugin with, ce qui permet une configuration d'authentification plus flexible.

TLS et chiffrement

La version 8.4 d'Aurora MySQL applique des normes de sécurité plus strictes :

  • Le require_secure_transport paramètre est défini sur ON par défaut, ce qui nécessite le protocole TLS pour toutes les connexions.

  • Supporte uniquement les protocoles TLS 1.2 et TLS 1.3.

  • Applique les normes cryptographiques modernes avec des suites de chiffrement restreintes.

Pour de plus amples informations, veuillez consulter Sécurité avec Amazon Aurora MySQL.

Gestion des mots de passe

Validation de mot de passe

Aurora MySQL version 3 prend en charge le validate_password plugin et le composant par le biais d'une installation manuelle, limitée aux paramètres par défaut et aucune personnalisation n'est disponible.

Aurora MySQL version 8.4 prend en charge la gestion du validate_password composant via les paramètres du cluster de base de données :

  • Nouveau paramètre de cluster : aurora_enable_validate_password_component

  • Aucune installation manuelle n'est nécessaire, il suffit de l'activer ou de le désactiver via un paramètre.

  • Composant non répertorié dans le mysql.component tableau.

  • L'état des composants peut être vérifié via des API de groupe de paramètres du cluster ou une variable globaleaurora_enable_validate_password_component.

Aurora MySQL version 8.4 introduit les paramètres suivants au niveau du cluster pour la personnalisation de la validation des mots de passe :

  • validate_password.check_user_name

  • validate_password.length

  • validate_password.mixed_case_count

  • validate_password.number_count

  • validate_password.policy(supporte uniquement les niveaux FAIBLE et MOYEN)

  • validate_password.special_char_count

Pour de plus amples informations, veuillez consulter Politiques de mot de passe et validation des mots de passe dans Aurora MySQL.

Les paramètres de validate_password plug-in non modifiables suivants au niveau de l'instance sont supprimés dans Aurora MySQL version 8.4 :

  • validate-password

  • validate_password_dictionary_file

  • validate_password_length

  • validate_password_mixed_case_count

  • validate_password_number_count

  • validate_password_policy

  • validate_password_special_char_count

Pour de plus amples informations, veuillez consulter Paramètres de configuration d’Aurora MySQL.

Politiques relatives aux mots

La version 8.4 d'Aurora MySQL ajoute une prise en charge complète des politiques de mots de passe grâce à de nouveaux paramètres de cluster :

  • default_password_lifetime

  • password_history

  • password_reuse_interval

  • password_require_current

  • disconnect_on_expired_password

Ces paramètres fonctionnent conjointement avec les politiques de mot de passe par compte pour un contrôle granulaire. Pour de plus amples informations, veuillez consulter Politiques de mot de passe et validation des mots de passe dans Aurora MySQL.

Modifications des paramètres par défaut

temptable_max_mmap

Aurora MySQL version 3 utilise une valeur par défaut fixe de 1 GiB (1073741824) pour le temptable_max_mmap paramètre dans toutes les classes d'instances et configurations de stockage.

Aurora MySQL version 8.4.7 et supérieure calcule la valeur par défaut de manière dynamique en fonction du stockage alloué au cluster. La formule est la suivante :

LEAST(4294967296, {AllocatedStorage*3/100})

Cela définit la valeur par défaut à 3 % du stockage alloué, plafonné à un maximum de 4 GiB. La valeur par défaut s'adapte à la capacité de stockage tout en restant limitée, ce qui permet de réduire les échecs de requête sur les instances de lecteur qui utilisent le moteur TempTable de stockage.

Pour l'entrée de référence des paramètres, voirParamètres de configuration d’Aurora MySQL.

Privilèges et rôles

Nouveaux privilèges dynamiques

La version 8.4 d'Aurora MySQL prend en charge de nouveaux privilèges, accordés à rds_superuser_role :

  • ALLOW_NONEXISTENT_DEFINER

  • FLUSH_PRIVILEGES

  • OPTIMIZE_LOCAL_TABLE

  • SET_ANY_DEFINER

Le SET_USER_ID privilège est supprimé lorsqu'il est remplacé par ALLOW_NONEXISTENT_DEFINER etSET_ANY_DEFINER.

Pour de plus amples informations, veuillez consulter Privilèges du compte utilisateur principal.

Maîtriser le comportement des utilisateurs

Aurora MySQL version 3 : l'utilisateur principal utilise par défaut mysql_native_password le plugin d'authentification pour l'authentification par mot de passe.

Aurora MySQL version 8.4 : le plugin d'authentification de l'utilisateur principal est défini sur la valeur par défaut définie dans le paramètre du authentication_policy cluster (par défaut, caching_sha2_password plugin).

Lors de la réinitialisation du mot de passe de l'utilisateur principal via la AWS Management Console CLI ou l'API, ou par AWS Secrets Manager rotation, Aurora utilise automatiquement le plug-in d'authentification défini par la valeur du authentication_policy paramètre actuel au moment de la réinitialisation.

Application des droits d'utilisateur protégés pour rdsproxyadmin

Aurora MySQL version 3 : rdsproxyadmin est un nom d'utilisateur réservé pour le proxy RDS. Toutefois, le moteur ne vous empêche pas de créer, de modifier ou de supprimer un utilisateur de base de données portant ce nom.

Aurora MySQL version 8.4 (à partir de la version 8.4.7) : rdsproxyadmin est un utilisateur protégé. Le moteur rejetteCREATE,DROP,RENAME, GRANTREVOKE, et fonctionne SET PASSWORD contre n'rdsproxyadminimporte quel hôte. Pour obtenir la liste complète des opérations rejetées et des exemples d'erreurs, consultezUtilisateurs réservés dans Aurora MySQL.

Si vous avez créé un rdsproxyadmin utilisateur dans un cluster version 3, consultez les instructions préalables Application des droits d'utilisateur protégés pour rdsproxyadmin à la mise à niveau.