Verwenden der Kerberos-Authentifizierung für Aurora My SQL - Amazon Aurora
Überblick über die Kerberos-Authentifizierung für Aurora My SQLEinschränkungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden der Kerberos-Authentifizierung für Aurora My SQL

Sie können die Kerberos-Authentifizierung verwenden, um Benutzer zu authentifizieren, wenn sie sich mit Ihrem Aurora My SQL DB-Cluster verbinden. Konfigurieren Sie dazu Ihren DB-Cluster so, dass er AWS Directory Service for Microsoft Active Directory für die Kerberos-Authentifizierung verwendet wird. AWS Directory Service for Microsoft Active Directory wird auch genannt. AWS Managed Microsoft AD Es ist eine Funktion, die mit verfügbar ist AWS Directory Service. Weitere Informationen finden Sie unter Was ist AWS Directory Service? im AWS Directory Service Administratorhandbuch.

Erstellen Sie zunächst ein AWS Managed Microsoft AD Verzeichnis zum Speichern von Benutzeranmeldeinformationen. Stellen Sie dann die Active Directory-Domäne und andere Informationen für Ihren Aurora My SQL DB-Cluster bereit. Wenn sich Benutzer beim Aurora My SQL DB-Cluster authentifizieren, werden Authentifizierungsanfragen an das AWS Managed Microsoft AD Verzeichnis weitergeleitet.

Wenn Sie alle Ihre Anmeldeinformationen im selben Verzeichnis aufbewahren, können Sie Zeit und Mühe sparen. Mit diesem Ansatz haben Sie einen zentralen Ort für die Speicherung und Verwaltung von Anmeldeinformationen für mehrere DB-Cluster. Die Verwendung eines Verzeichnisses kann auch Ihr allgemeines Sicherheitsprofil verbessern.

Außerdem können Sie von Ihrem eigenen On-Premises Microsoft Active Directory auf Anmeldeinformationen zugreifen. Dazu erstellen Sie eine vertrauensvolle Domain-Beziehung, damit das AWS Managed Microsoft AD -Verzeichnis Ihrem On-Premises Microsoft Active Directory vertraut. Auf diese Weise können Ihre Benutzer mit derselben Windows Single Sign-On (SSO) -Erfahrung auf Ihre Aurora My SQL DB-Cluster zugreifen wie beim Zugriff auf Workloads in Ihrem lokalen Netzwerk.

Eine Datenbank kann Kerberos, AWS Identity and Access Management (IAM) oder sowohl Kerberos als auch Authentifizierung verwenden. IAM Da Kerberos und IAM Authentifizierung jedoch unterschiedliche Authentifizierungsmethoden bieten, kann sich ein bestimmter Benutzer nur mit der einen oder der anderen Authentifizierungsmethode bei einer Datenbank anmelden, jedoch nicht mit beiden. Weitere Informationen über die IAM-Authentifizierung finden Sie unter IAM-Datenbankauthentifizierung.

Inhalt

Überblick über die Kerberos-Authentifizierung für Aurora My SQL DB-Cluster

Gehen Sie wie folgt vor, um die Kerberos-Authentifizierung für einen Aurora My SQL DB-Cluster einzurichten. Diese Schritte werden später ausführlich beschrieben.

  1. Wird verwendet AWS Managed Microsoft AD , um ein AWS Managed Microsoft AD Verzeichnis zu erstellen. Sie können das AWS Management Console, das oder das verwenden AWS CLI, AWS Directory Service um das Verzeichnis zu erstellen. Eine ausführliche Anleitung finden Sie unter AWS Managed Microsoft AD Verzeichnis erstellen im AWS Directory Service Administratorhandbuch.

  2. Erstellen Sie eine Rolle AWS Identity and Access Management (IAM), die die verwaltete IAM Richtlinie verwendetAmazonRDSDirectoryServiceAccess. Die Rolle erlaubt Amazon Aurora, Aufrufe an Ihr Verzeichnis zu senden.

    Damit die Rolle Zugriff gewährt, muss der Endpunkt AWS Security Token Service (AWS STS) im AWS-Region für Ihr AWS Konto aktiviert sein. AWS STS Endpunkte sind standardmäßig in allen aktiv AWS-Regionen, und Sie können sie ohne weitere Maßnahmen verwenden. Weitere Informationen finden Sie unter Aktivieren und Deaktivieren AWS STSAWS-Region im IAMBenutzerhandbuch.

  3. Erstellen und konfigurieren Sie Benutzer im AWS Managed Microsoft AD Verzeichnis mithilfe der Microsoft Active Directory-Tools. Weitere Informationen zum Erstellen von Benutzern in Ihrem Active Directory finden Sie unter Verwalten von Benutzern und Gruppen in AWS verwaltetem Microsoft AD im AWS Directory Service Administratorhandbuch.

  4. Erstellen oder ändern Sie einen Aurora My SQL DB-Cluster. Wenn Sie RDS API in der Erstellungsanforderung entweder das CLI oder verwenden, geben Sie mit dem Domain Parameter eine Domain-ID an. Verwenden Sie den d-* Bezeichner, der bei der Erstellung Ihres Verzeichnisses generiert wurde, und den Namen der IAM Rolle, die Sie erstellt haben.

    Wenn Sie einen vorhandenen Aurora My SQL DB-Cluster so ändern, dass er die Kerberos-Authentifizierung verwendet, legen Sie die Domänen- und IAM Rollenparameter für den DB-Cluster fest. Suchen Sie den DB-Cluster im selben Verzeichnis VPC wie das Domänenverzeichnis.

  5. Verwenden Sie die RDS primären Benutzeranmeldedaten von Amazon, um eine Verbindung zum Aurora My SQL DB-Cluster herzustellen. Erstellen Sie den Datenbankbenutzer in Aurora My, SQL indem Sie die Anweisungen unter verwendenSchritt 6: Erstellen von Aurora-MySQL-Benutzern, die die Kerberos-Authentifizierung verwenden.

    Benutzer, die Sie auf diese Weise erstellen, können sich mithilfe der Kerberos-Authentifizierung beim Aurora My SQL DB-Cluster anmelden. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit Aurora MySQL mit Kerberos-Authentifizierung.

Wenn Sie die Kerberos-Authentifizierung mit einem On-Premises oder einem selbst gehosteten Microsoft Active Directory verwenden möchten, erstellen Sie eine Gesamtstruktur-Vertrauensstellung. Eine Gesamtstruktur-Vertrauensstellung ist eine Vertrauensbeziehung zwischen zwei Gruppen von Domains. Die Vertrauensstellung kann uni- oder bidirektional sein. Weitere Informationen zum Einrichten von Forest Trusts mithilfe von finden Sie unter Wann AWS Directory Service sollte eine Vertrauensstellung erstellt werden? im AWS Directory Service Administratorhandbuch.

Einschränkungen der Kerberos-Authentifizierung für Aurora My SQL

Die folgenden Einschränkungen gelten für die Kerberos-Authentifizierung für Aurora My: SQL

  • Die Kerberos-Authentifizierung wird für Aurora My SQL Version 3.03 und höher unterstützt.

    Informationen zur AWS-Region Unterstützung finden Sie unter. Kerberos-Authentifizierung mit Aurora MySQL

  • Um die Kerberos-Authentifizierung mit Aurora My zu verwendenSQL, muss Ihr My SQL Client oder Connector Version 8.0.26 oder höher auf Unix-Plattformen und 8.0.27 oder höher auf Windows verwenden. Andernfalls ist das clientseitige authentication_kerberos_client-Plugin nicht verfügbar und Sie können sich nicht authentifizieren.

  • AWS Managed Microsoft AD Wird nur auf Aurora My unterstütztSQL. Sie können Aurora My SQL DB-Cluster jedoch mit gemeinsam genutzten verwalteten Microsoft AD-Domänen verbinden, die verschiedenen Konten in demselben gehören AWS-Region.

    Außerdem können Sie ein eigenes On-Premises Active Directory verwenden. Weitere Informationen finden Sie unter Schritt 2: (Optional) Erstellen einer Vertrauensstellung für ein On-Premise-Active-Directory.

  • Wenn Sie Kerberos verwenden, um einen Benutzer zu authentifizieren, der von Meine SQL Clients oder von Treibern auf dem Windows-Betriebssystem aus eine Verbindung zum Aurora My SQL Cluster herstellt, muss die Groß- und Kleinschreibung des Datenbankbenutzernamens standardmäßig mit der Groß- und Kleinschreibung des Benutzers im Active Directory übereinstimmen. Wenn der Benutzer im Active Directory beispielsweise als Admin angezeigt wird, muss der Datenbankbenutzername Admin lauten.

    Mit dem Plug-in authentication_kerberos können Sie jetzt jedoch den Benutzernamenvergleich ohne Berücksichtigung der Groß-/Kleinschreibung verwenden. Weitere Informationen finden Sie unter Schritt 8: (Optional) Konfigurieren eines Benutzernamenvergleichs ohne Berücksichtigung der Groß-/Kleinschreibung.

  • Sie müssen die Reader-DB-Instances neu starten, nachdem Sie die Funktion zur Installation des authentication_kerberos-Plugins aktiviert haben.

  • Die Replikation auf DB-Instances, die das authentication_kerberos-Plugin nicht unterstützen, kann zu einem Replikationsfehler führen.

  • Damit globale Aurora-Datenbanken die Kerberos-Authentifizierung verwenden können, müssen Sie diese für jeden DB-Cluster in der globalen Datenbank konfigurieren.

  • Der Domain-Name muss weniger als 62 Zeichen lang sein.

  • Ändern Sie den DB-Cluster-Port nicht, nachdem Sie die Kerberos-Authentifizierung aktiviert haben. Wenn Sie den Port ändern, funktioniert die Kerberos-Authentifizierung nicht mehr.