Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden der Kerberos-Authentifizierung mit Aurora PostgreSQL
Sie können Kerberos verwenden, um Benutzer zu authentifizieren, wenn sie sich mit Ihrem DB-Cluster mit PostgreSQL verbinden. Konfigurieren Sie dazu Ihre so, dass sie AWS Directory Service for Microsoft Active Directory für die Kerberos-Authentifizierung verwendet wird. AWS Directory Service for Microsoft Active Directory wird auch genannt. AWS Managed Microsoft AD Es ist eine Funktion, die mit verfügbar ist Directory Service. Weitere Informationen finden Sie unter [Was ist Directory Service?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) im *AWS Directory Service Administratorhandbuch*.
Erstellen Sie zunächst ein AWS Managed Microsoft AD Verzeichnis zum Speichern von Benutzeranmeldeinformationen. Anschließend stellen Sie Ihrem PostgreSQL-DB-Cluster die Active Directory Domain und weitere Informationen zur Verfügung. Wenn Benutzer sich mit PostgreSQL-DB-Clustern authentifizieren, werden Authentifizierungsanforderungen an das AWS Managed Microsoft AD -Verzeichnis weitergeleitet.
Wenn Sie alle Ihre Anmeldeinformationen im selben Verzeichnis aufbewahren, können Sie Zeit und Mühe sparen. Sie haben einen zentralen Ort für die Speicherung und Verwaltung von Anmeldeinformationen für mehrere DB-Cluster. Die Verwendung eines Verzeichnisses kann auch Ihr allgemeines Sicherheitsprofil verbessern.
Außerdem können Sie von Ihrem eigenen On-Premises Microsoft Active Directory auf Anmeldeinformationen zugreifen. Dazu erstellen Sie eine vertrauensvolle Domain-Beziehung, damit das AWS Managed Microsoft AD -Verzeichnis Ihrem On-Premises Microsoft Active Directory vertraut. Auf diese Weise können Ihre Benutzer auf Ihre PostgreSQL-Clusters- mit derselben Windows Single Sign-On-Oberfläche (SSO) zugreifen, die sie auch für den Zugriff auf Workloads in Ihrem lokalen Netzwerk verwenden.
Eine Datenbank kann Kerberos AWS Identity and Access Management (IAM) oder sowohl Kerberos- als auch IAM-Authentifizierung verwenden. Da die Kerberos- und IAM-Authentifizierung jedoch unterschiedliche Authentifizierungsmethoden bereitstellen, kann sich ein bestimmter Datenbankbenutzer nur mit der einen oder anderen Authentifizierungsmethode bei einer Datenbank anmelden, jedoch nicht mit beiden. Weitere Informationen zur IAM-Authentifizierung finden Sie unter [IAM-Datenbankauthentifizierung](UsingWithRDS.IAMDBAuth.md).
**Anmerkung**
RDS für PostgreSQL unterstützt keine Kerberos-Authentifizierung für Active-Directory-Gruppen.
**Topics**
+ [Verfügbarkeit von Regionen und Versionen](#postgresql-kerberos.RegionVersionAvailability)
+ [Übersicht über die Kerberos-Authentifizierung für PostgreSQL-DB-Cluster](#postgresql-kerberos-overview)
+ [Einrichten der Kerberos-Authentifizierung für PostgreSQL-DB-Cluster](postgresql-kerberos-setting-up.md)
+ [Verwaltung eines Aurora PostgreSQL-DB-Clusters (](postgresql-kerberos-managing.md)
+ [Herstellen einer Verbindung zu PostgreSQL mit Kerberos-Authentifizierung](postgresql-kerberos-connecting.md)
+ [Verwenden von AD-Sicherheitsgruppen für die Aurora-PostgreSQL-Zugriffskontrolle](AD.Security.Groups.md)
## Verfügbarkeit von Regionen und Versionen
Die Verfügbarkeit von Funktionen und der Support variieren zwischen bestimmten Versionen der einzelnen Datenbank-Engines und in allen AWS-Regionen. Weitere Informationen über die Verfügbarkeit von Versionen und Regionen von Aurora PostgreSQL mit Kerberos-Authentifizierung finden Sie unter [Kerberos-Authentifizierung mit Aurora PostgreSQL](Concepts.Aurora_Fea_Regions_DB-eng.Feature.KerberosAuthentication.md#Concepts.Aurora_Fea_Regions_DB-eng.Feature.KerberosAuthentication.apg).
## Übersicht über die Kerberos-Authentifizierung für PostgreSQL-DB-Cluster
Um die Kerberos-Authentifizierung für PostgreSQL-DB-Cluster einzurichten, führen Sie die folgenden Schritte aus, die später näher erläutert werden:
1. Wird verwendet AWS Managed Microsoft AD , um ein Verzeichnis zu erstellen. AWS Managed Microsoft AD Sie können die AWS-Managementkonsole, oder die Directory Service API verwenden AWS CLI, um das Verzeichnis zu erstellen. Stellen Sie sicher, dass Sie die relevanten ausgehenden Ports in der Verzeichnissicherheitsgruppe öffnen, damit das Verzeichnis mit der kommunizieren kann.
1. Erstellen Sie eine Rolle, die Amazon Aurora Amazon gewährt, um Anrufe in Ihr AWS Managed Microsoft AD Verzeichnis zu tätigen. Erstellen Sie dazu eine AWS Identity and Access Management (IAM-) Rolle, die die verwaltete IAM-Richtlinie verwendet. `AmazonRDSDirectoryServiceAccess`
Damit die IAM-Rolle Zugriff gewährt, muss der Endpunkt AWS -Security-Token-Service (AWS STS) in der richtigen AWS Region für Ihr Konto aktiviert sein. AWS AWS STS Endpunkte sind standardmäßig in allen aktiv AWS-Regionen, und Sie können sie ohne weitere Aktionen verwenden. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Aktivierung und Deaktivierung AWS STS in einer AWS Region](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html#sts-regions-activate-deactivate).
1. Erstellen und konfigurieren Sie Benutzer im AWS Managed Microsoft AD Verzeichnis mithilfe der Microsoft Active Directory-Tools. Weitere Informationen zum Erstellen von Benutzern in Ihrem Active Directory finden Sie unter [Verwalten von Benutzern und Gruppen in AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html) im *Directory Service Administratorhandbuch*.
1. Wenn Sie planen, das Verzeichnis und die DB-Instance in verschiedenen AWS Konten oder virtuellen privaten Clouds (VPCs) zu lokalisieren, konfigurieren Sie VPC-Peering. Weitere Informationen finden Sie unter [Was ist VPC Peering?](https://docs.aws.amazon.com/vpc/latest/peering/Welcome.html) im *Amazon VPC Peering Guide*.
1. Erstellen oder ändern Sie PostgreSQL-DB-Cluster entweder über die Konsole, CLI oder RDS-API mit einer der folgenden Methoden:
+ [Erstellen eines DB-Clusters von Aurora PostgreSQL und Herstellen einer Verbindung](CHAP_GettingStartedAurora.CreatingConnecting.AuroraPostgreSQL.md)
+ [Ändern eines Amazon Aurora-DB-Clusters](Aurora.Modifying.md)
+ [Wiederherstellen aus einem DB-Cluster-Snapshot](aurora-restore-snapshot.md)
+ [Wiederherstellen eines DB-Clusters zu einer bestimmten Zeit](aurora-pitr.md)
Sie können die in derselben Amazon Virtual Private Cloud (VPC) wie das Verzeichnis oder in einem anderen AWS Konto oder einer anderen VPC lokalisieren. Wenn Sie die PostgreSQL-DB- erstellen oder ändern, gehen Sie wie folgt vor:
+ Geben Sie den Domänenbezeichner (`d-*`-Bezeichner) an, der beim Erstellen Ihres Verzeichnisses generiert wurde.
+ Geben Sie außerdem den Namen der IAM-Rolle an, die Sie erstellt haben.
+ Stellen Sie sicher, dass die Sicherheitsgruppe der DB-Instance eingehenden Datenverkehr von der Sicherheitsgruppe des Verzeichnisses empfangen kann.
1. Verwenden Sie die RDS-Master-Benutzer-Anmeldeinformationen, um sich mit PostgreSQL-DB-Clustern zu verbinden. Erstellen Sie den Benutzer in PostgreSQL, der extern identifiziert werden soll. Extern identifizierte Benutzer können sich über die Kerberos-Authentifizierung bei der PostgreSQL-DB- anmelden.
# Einrichten der Kerberos-Authentifizierung für PostgreSQL-DB-Cluster
Um die Kerberos-Authentifizierung einzurichten, führen Sie die folgenden Schritte aus.
**Topics**
+ [Schritt 1: Erstellen Sie ein Verzeichnis mit AWS Managed Microsoft AD](#postgresql-kerberos-setting-up.create-directory)
+ [Schritt 2: (Optional) Erstellen Sie eine Vertrauensbeziehung zwischen Ihrem lokalen Active Directory und Directory Service](#postgresql-kerberos-setting-up.create-trust)
+ [Schritt 3: Erstellen Sie eine IAM-Rolle für Amazon Aurora Amazon für den Zugriff auf Directory Service](#postgresql-kerberos-setting-up.CreateIAMRole)
+ [Schritt 4: Anlegen und Konfigurieren von Benutzern](#postgresql-kerberos-setting-up.create-users)
+ [Schritt 5: Aktivieren des VPC-übergreifenden Datenverkehrs zwischen dem Verzeichnis und der DB-Instance](#postgresql-kerberos-setting-up.vpc-peering)
+ [Schritt 6: Erstellen oder Ändern von PostgreSQL-DB-](#postgresql-kerberos-setting-up.create-modify)
+ [Schritt 7: Erstellen von PostgreSQL-Benutzern für Ihre Kerberos-Prinzipale](#postgresql-kerberos-setting-up.create-logins)
+ [Schritt 8: Konfigurieren eines PostgreSQL-Clients](#postgresql-kerberos-setting-up.configure-client)
## Schritt 1: Erstellen Sie ein Verzeichnis mit AWS Managed Microsoft AD
Directory Service erstellt ein vollständig verwaltetes Active Directory in der AWS Cloud. Wenn Sie ein AWS Managed Microsoft AD Verzeichnis erstellen, Directory Service erstellt zwei Domänencontroller und DNS-Server für Sie. Die Verzeichnisserver werden in verschiedenen Subnetzen in einer VPC erstellt. Diese Redundanz trägt dazu bei, dass Ihr Verzeichnis auch im Fehlerfall erreichbar bleibt.
Wenn Sie ein AWS Managed Microsoft AD Verzeichnis erstellen, führt der AWS Directory Service die folgenden Aufgaben in Ihrem Namen aus:
+ Richtet ein Active Directory in Ihrer VPC ein.
+ Erstellt ein Konto für den Verzeichnisadministrator mit dem Benutzernamen `Admin` und dem angegebenen Passwort. Mit diesem Konto verwalten Sie das Verzeichnis.
**Wichtig**
Stellen Sie sicher, dass Sie dieses Passwort speichern. Directory Service speichert dieses Passwort nicht und es kann nicht abgerufen oder zurückgesetzt werden.
+ Erstellt eine Sicherheitsgruppe für die Verzeichniscontroller. Die Sicherheitsgruppe muss die Kommunikation mit der PostgreSQL-DB- zulassen.
AWS Erstellt beim Start AWS Directory Service for Microsoft Active Directory eine Organisationseinheit (OU), die alle Objekte Ihres Verzeichnisses enthält. Diese OU erhält den NetBIOS-Namen, den Sie beim Erstellen des Verzeichnisses eingegeben haben, und befindet sich im Domänenstamm. Der Domänenstamm gehört und wird von diesem verwaltet AWS.
Das `Admin` Konto, das mit Ihrem AWS Managed Microsoft AD Verzeichnis erstellt wurde, verfügt über Berechtigungen für die gängigsten Verwaltungsaktivitäten Ihrer Organisationseinheit:
+ Erstellen, Aktualisieren oder Löschen von Benutzern
+ Hinzufügen von Ressourcen zu Ihrer Domäne, etwa Datei- oder Druckserver, und anschließendes Gewähren der zugehörigen Ressourcenberechtigungen für Benutzer in der OU
+ Zusätzliche OUs Container erstellen
+ Delegieren von Befugnissen
+ Wiederherstellen von gelöschten Objekten aus dem Active Directory-Papierkorb
+ Führen Sie Active Directory- und DNS-Module (Domain Name Service) für Windows PowerShell im Active Directory-Webdienst aus
Das `Admin`-Konto hat auch die Berechtigung, die folgenden domänenweiten Aktivitäten durchzuführen:
+ Verwalten von DNS-Konfigurationen (Hinzufügen, Entfernen oder Aktualisieren von Datensätzen, Zonen und Weiterleitungen)
+ Aufrufen von DNS-Ereignisprotokollen
+ Anzeigen von Sicherheitsereignisprotokollen
**Um ein Verzeichnis zu erstellen mit AWS Managed Microsoft AD**
1. Wählen Sie im Navigationsbereich [Directory Service -Konsole](https://console.aws.amazon.com/directoryservicev2/) den Eintrag **Directories (Verzeichnisse)** und wählen Sie **Set up directory (Verzeichnis einrichten)** aus.
1. Wählen Sie **AWS Managed Microsoft AD**. AWS Managed Microsoft AD ist die einzige Option, die derzeit für die Verwendung mit Amazon Aurora Amazon unterstützt wird.
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Enter directory information (Verzeichnisinformationen eingeben)** die folgenden Informationen ein:
**Edition**
Wählen Sie die Edition aus, die Ihre Anforderungen erfüllt.
**DNS-Name des Verzeichnisses**
Den vollständig qualifizierten Namen für das Verzeichnis, z. B. **corp.example.com**.
**NetBIOS-Name des Verzeichnisses**
Ein optionaler Kurzname für das Verzeichnis, z. B. `CORP`.
**Verzeichnisbeschreibung**
Eine optionale Beschreibung des Verzeichnisses.
**Administratorpasswort**
Das Passwort für den Verzeichnisadministrator. Mit der Verzeichniserstellung wird ein Administratorkonto mit dem Benutzernamen `Admin` und diesem Passwort angelegt.
Das Passwort für den Verzeichnisadministrator darf nicht das Wort "admin" enthalten. Beachten Sie beim Passwort die Groß- und Kleinschreibung und es muss 8 bis 64 Zeichen lang sein. Zudem muss es mindestens ein Zeichen aus dreien der vier folgenden Kategorien enthalten:
+ Kleinbuchstaben (a–z)
+ Großbuchstaben (A–Z)
+ Zahlen (0–9)
+ Nicht-alphanumerische Zeichen (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
**Passwort bestätigen**
Geben Sie das Administratorpasswort erneut ein.
Stellen Sie sicher, dass Sie dieses Passwort speichern. Directory Service speichert dieses Passwort nicht und es kann nicht abgerufen oder zurückgesetzt werden.
1. Wählen Sie **Weiter** aus.
1. Geben Sie auf der Seite **Choose VPC and subnets (VPC und Subnetze wählen)** die folgenden Informationen an.
**VPC**
Wählen Sie die VPC für das Verzeichnis aus. Sie können PostgreSQL-DB-Cluster in derselben VPC oder in einer anderen VPC erstellen.
**Subnetze**
Wählen Sie Subnetze für die Verzeichnis-Server aus. Die beiden Subnetze müssen zu verschiedenen Availability-Zonen gehören.
1. Wählen Sie **Weiter** aus.
1. Überprüfen Sie die Verzeichnisinformationen. Wenn Änderungen erforderlich sind, klicken Sie auf **Previous (Zurück)** und nehmen Sie die Änderungen vor. Wenn die Informationen richtig sind, wählen Sie **Create directory (Verzeichnis erstellen)**.
![\[Seite „Directory details (Verzeichnisdetails)“\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/images/WinAuth2.png)
Es dauert einige Minuten, bis das Verzeichnis erstellt wurde. Wenn es erfolgreich erstellt wurde, ändert sich der Wert **Status** in **Active (Aktiv)**.
Um Informationen über das Verzeichnis anzuzeigen, wählen Sie die Verzeichnis-ID in der Verzeichnisauflistung aus. Notieren Sie sich den Wert **Directory ID**. Sie benötigen diesen Wert, wenn Sie Ihre PostgreSQL DB-Instance erstellen oder ändern.
![\[Abbildung der Detailseite\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/images/WinAuth3.png)
## Schritt 2: (Optional) Erstellen Sie eine Vertrauensbeziehung zwischen Ihrem lokalen Active Directory und Directory Service
Wenn Sie Ihr eigenes lokales Microsoft Active Directory nicht verwenden möchten, fahren Sie mit for [Schritt 3: Erstellen Sie eine IAM-Rolle für Amazon Aurora Amazon für den Zugriff auf Directory Service](#postgresql-kerberos-setting-up.CreateIAMRole).
Um die Kerberos-Authentifizierung mit Ihrem lokalen Active Directory zu erhalten, müssen Sie eine vertrauensvolle Domänenbeziehung mithilfe einer Gesamtvertrauensstellung zwischen Ihrem lokalen Microsoft Active Directory und dem AWS Managed Microsoft AD Verzeichnis (erstellt in) einrichten. [Schritt 1: Erstellen Sie ein Verzeichnis mit AWS Managed Microsoft AD](#postgresql-kerberos-setting-up.create-directory) Die Vertrauensstellung kann unidirektional sein, wobei das AWS Managed Microsoft AD Verzeichnis dem lokalen Microsoft Active Directory vertraut. Die Vertrauensstellung kann auch bidirektional erfolgen, wobei beide Active Directories einander vertrauen. *Weitere Informationen zum Einrichten von Vertrauensstellungen mithilfe von finden Sie unter [Wann Directory Service sollte eine Vertrauensstellung](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_setup_trust.html) eingerichtet werden? im Administratorhandbuch.AWS Directory Service *
**Anmerkung**
Verwendung eines lokalen Microsoft Active Directory:
Windows-Clients müssen die Verbindung über den Domänennamen auf dem Endpunkt herstellen und nicht über Directory Service rds.amazonaws.com. Weitere Informationen finden Sie unter [Herstellen einer Verbindung zu PostgreSQL mit Kerberos-Authentifizierung](postgresql-kerberos-connecting.md).
Windows-Clients können keine Verbindung über benutzerdefinierten Aurora-Endpunkte herstellen. Weitere Informationen hierzu finden Sie unter [Amazon-Aurora-Endpunktverbindungen](Aurora.Overview.Endpoints.md).
[Globale Datenbanken](aurora-global-database.md):
Windows-Clients können eine Verbindung nur über Instanzendpunkte oder Cluster-Endpunkte in der primären AWS-Region Datenbank herstellen.
Windows-Clients können keine Verbindung über Clusterendpunkte auf der Sekundärseite herstellen. AWS-Regionen
Stellen Sie sicher, dass der lokale Microsoft Active Directory-Domänenname ein DNS-Suffix-Routing enthält, das der neu erstellten Vertrauensstellung entspricht. Im folgenden Screenshot wird ein Beispiel gezeigt.
![\[DNS-Routing entspricht der erstellten Vertrauensstellung\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/images/kerberos-auth-trust.png)
## Schritt 3: Erstellen Sie eine IAM-Rolle für Amazon Aurora Amazon für den Zugriff auf Directory Service
Damit Amazon Aurora Sie anrufen Directory Service kann, benötigt Ihr AWS Konto eine IAM-Rolle, die die verwaltete IAM-Richtlinie verwendet. `AmazonRDSDirectoryServiceAccess` Diese Rolle ermöglicht es Amazon Aurora, Aufrufe von Directory Service durchzuführen. (Beachten Sie, dass sich diese IAM-Rolle für den Zugriff von der IAM-Rolle Directory Service unterscheidet, für die Sie verwendet werden.) [IAM-Datenbankauthentifizierung](UsingWithRDS.IAMDBAuth.md)
Wenn Sie mit dem eine DB-Instance erstellen AWS-Managementkonsole und Ihr Konsolen-Benutzerkonto über die `iam:CreateRole` entsprechende Berechtigung verfügt, erstellt die Konsole automatisch die benötigte IAM-Rolle. In diesem Fall lautet der Rollenname `rds-directoryservice-kerberos-access-role`. Andernfalls müssen Sie die IAM-Rolle manuell erstellen. Wenn Sie diese IAM-Rolle erstellen`Directory Service`, wählen Sie die AWS verwaltete Richtlinie aus und hängen Sie `AmazonRDSDirectoryServiceAccess` sie an.
Weitere Informationen zum Erstellen von IAM-Rollen für einen Dienst finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS Dienst](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*.
**Anmerkung**
Die für die Windows-Authentifizierung für RDS für Microsoft SQL Server verwendete IAM-Rolle kann nicht für Amazon Aurora verwendet werden.
Alternativ können Sie Richtlinien mit den erforderlichen Berechtigungen erstellen, anstatt die verwaltete Richtlinie `AmazonRDSDirectoryServiceAccess` zu verwenden. In diesem Fall muss die IAM-Rolle die folgende IAM-Vertrauensrichtlinie haben.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"directoryservice.rds.amazonaws.com",
"rds.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Die Rolle muss auch über die folgende IAM-Rollenrichtlinie verfügen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ds:DescribeDirectories",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:GetAuthorizedApplicationDetails"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
Wenn Sie sich anmelden möchten AWS-Regionen, verwenden Sie regionsspezifische Dienstprinzipale in den Vertrauensrichtlinien für IAM-Rollen. Wenn Sie eine Vertrauensrichtlinie für Services in diesen Regionen erstellen, geben Sie den Regionalcode im Service-Prinzipal an.
Das folgende Beispiel zeigt eine Vertrauensrichtlinie, die regionsspezifischen Service-Prinzipale enthält.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"directoryservice.rds.REGION-CODE.amazonaws.com",
"rds.REGION-CODE.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Ersetzen Sie REGION-CODE durch den Code für Ihre spezifische Region. Verwenden Sie beispielsweise die folgenden Service-Prinzipale für die Region Asien-Pazifik (Melbourne):
```
"Service": [
"directoryservice.rds.ap-southeast-4.amazonaws.com",
"rds.ap-southeast-4.amazonaws.com"
]
```
## Schritt 4: Anlegen und Konfigurieren von Benutzern
Sie können Benutzer mit dem Tool „Active Directory Users and Computers“ erstellen. Dieses Tool ist ein Active Directory Domain Service und ein Active Directory Lightweight Directory Service. Weitere Informationen finden Sie unter [Hinzufügen von Benutzern und Computern zur Active-Directory-Domain](https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/create-an-active-directory-server#add-users-and-computers-to-the-active-directory-domain). In diesem Fall handelt es sich bei Benutzern um Einzelpersonen oder andere Entitäten, z. B. um ihre Computer, die Teil der Domain sind und deren Identitäten im Verzeichnis verwaltet werden.
Um Benutzer in einem Directory Service Verzeichnis zu erstellen, müssen Sie mit einer Windows-basierten Amazon EC2 EC2-Instance verbunden sein, die Mitglied des Verzeichnisses ist. Directory Service Gleichzeitig müssen Sie als Benutzer angemeldet sein, der über Berechtigungen zum Erstellen von Benutzern verfügt. Weitere Informationen finden Sie unter [Erstellen eines Benutzers](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_manage_users_groups_create_user.html) im *AWS Directory Service Administration Guide*.
## Schritt 5: Aktivieren des VPC-übergreifenden Datenverkehrs zwischen dem Verzeichnis und der DB-Instance
Wenn Sie beabsichtigen, das Verzeichnis und den DB-Cluster in derselben VPC zu platzieren, überspringen Sie diesen Schritt und fahren Sie mit [Schritt 6: Erstellen oder Ändern von PostgreSQL-DB-](#postgresql-kerberos-setting-up.create-modify) fort.
[Wenn Sie planen, das Verzeichnis und die DB-Instance unterschiedlich zu lokalisieren VPCs, konfigurieren Sie den VPC-übergreifenden Verkehr mithilfe von VPC-Peering oder Transit Gateway.AWS](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
Das folgende Verfahren ermöglicht den Datenverkehr zwischen VPCs mithilfe von VPC-Peering. Folgen Sie den Anleitungen unter [Was ist VPC Peering?](https://docs.aws.amazon.com/vpc/latest/peering/Welcome.html) im *Handbuch zu Amazon Virtual Private Cloud-Peering*.
**Aktivieren des VPC-übergreifenden Datenverkehrs mit VPC Peering**
1. Richten Sie geeignete VPC-Routing-Regeln ein, um sicherzustellen, dass Netzwerk-Datenverkehr in beide Richtungen fließen kann.
1. Stellen Sie sicher, dass die Sicherheitsgruppe der DB-Instance eingehenden Datenverkehr von der Sicherheitsgruppe des Verzeichnisses empfangen kann.
1. Stellen Sie sicher, dass keine ACL-Regel (Network Access Control List) zum Blockieren des Datenverkehrs vorhanden ist.
Wenn ein anderes AWS Konto Eigentümer des Verzeichnisses ist, müssen Sie das Verzeichnis gemeinsam nutzen.
**Um das Verzeichnis von mehreren AWS Konten gemeinsam zu nutzen**
1. *Beginnen Sie mit der gemeinsamen Nutzung des Verzeichnisses mit dem AWS Konto, unter dem die DB-Instance erstellt werden soll. Folgen Sie dazu den Anweisungen unter [Tutorial: Sharing your AWS Managed Microsoft AD-Directory for Seamless EC2 Domain-Join](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_directory_sharing.html) im Directory Service Administrationshandbuch.*
1. Melden Sie sich mit dem Konto für die DB-Instance bei der Directory Service Konsole an und stellen Sie sicher, dass die Domain den `SHARED` Status hat, bevor Sie fortfahren.
1. Notieren Sie sich den Wert der **Verzeichnis-ID**, während Sie mit dem Konto für die DB-Instance bei der Directory Service Konsole angemeldet sind. Sie verwenden diese Verzeichnis-ID, um die DB-Instance mit der Domäne zu verbinden.
## Schritt 6: Erstellen oder Ändern von PostgreSQL-DB-
Erstellen oder ändern Sie PostgreSQL-DB-Cluster für die Verwendung mit Ihrem Verzeichnis. Sie können die Konsole, CLI oder RDS-API verwenden, um DB-Cluster einem Verzeichnis zuzuordnen. Sie können dafür eine der folgenden Möglichkeiten auswählen:
+ Erstellen Sie mit der Konsole, dem [create-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-cluster.html)CLI-Befehl oder dem Vorgang [Create DBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBCluster.html) RDS API einen neuen PostgreSQL-DB-Cluster. Detaillierte Anweisungen finden Sie unter [Erstellen eines DB-Clusters von Aurora PostgreSQL und Herstellen einer Verbindung](CHAP_GettingStartedAurora.CreatingConnecting.AuroraPostgreSQL.md).
+ Ändern Sie einen vorhandenen PostgreSQL-DB-Cluster mithilfe der Konsole, des [modify-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-cluster.html)CLI-Befehls oder der Operation [Modify DBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBCluster.html) RDS API. Detaillierte Anweisungen finden Sie unter [Ändern eines Amazon Aurora-DB-Clusters](Aurora.Modifying.md).
+ Stellen Sie einen PostgreSQL-DB-Cluster aus einem DB-Snapshot mithilfe der Konsole, des CLI-Befehls [restore-db-cluster-from-db-snapshot](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-cluster-from-snapshot.html) oder der Operation Restore From RDS API [wieder her DBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBClusterFromSnapshot.html). DBSnapshot Detaillierte Anweisungen finden Sie unter [Wiederherstellen aus einem DB-Cluster-Snapshot](aurora-restore-snapshot.md).
+ Stellen Sie einen PostgreSQL-DB-Cluster point-in-time mithilfe der Konsole, des Befehls [restore-db-instance-to- point-in-time](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-cluster-to-point-in-time.html) CLI oder der Operation [Restore DBCluster ToPointInTime RDS API auf einem wieder her](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBClusterToPointInTime.html). Detaillierte Anweisungen finden Sie unter [Wiederherstellen eines DB-Clusters zu einer bestimmten Zeit](aurora-pitr.md).
Die Kerberos-Authentifizierung wird nur für PostgreSQL-DB-Cluster- in einer VPC unterstützt. Die DB-Instance kann sich in derselben VPC wie das Verzeichnis oder in einer anderen VPC befinden. Der DB-Cluster muss eine Sicherheitsgruppe verwenden, die ausgehenden Datenverkehr innerhalb der VPC des Verzeichnisses zulässt, damit der DB-Cluster mit dem Verzeichnis kommunizieren kann.
**Anmerkung**
Die Aktivierung der Kerberos-Authentifizierung wird derzeit auf dem DB-Cluster von Aurora PostgreSQL während der Migration von RDS für PostgreSQL nicht unterstützt. Sie können die Kerberos-Authentifizierung nur auf einem eigenständigen DB-Cluster von Aurora PostgreSQL aktivieren.
### Konsole
Wenn Sie die Konsole zum Erstellen, Ändern oder Wiederherstellen eines DB-Clusters verwenden, wählen Sie **Kerberos-Authentifizierung** im **Datenbank-Authentifizierung**-Abschnitt. Dann wählen Sie **Verzeichnis durchsuchen**. Wählen Sie das Verzeichnis aus oder wählen Sie **Erstellen eines neuen Verzeichnisses**, um den Directory Service zu verwenden.
![\[Auswahl von Kerberos für die Authentifizierung und Identifizierung des zu verwendenden Verzeichnisses.\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/images/rpg-authentication-use-kerberos.png)
### AWS CLI
Wenn Sie den verwenden AWS CLI, sind die folgenden Parameter erforderlich, damit die das von Ihnen erstellte Verzeichnis verwenden kann:
+ Für den `--domain`-Parameter verwenden Sie den Domänenbezeichner („d-\$1“-Bezeichner), der beim Erstellen des Verzeichnisses generiert wurde.
+ Verwenden Sie für den `--domain-iam-role-name`-Parameter die von Ihnen erstellte Rolle, die die verwaltete IAM-Richtlinie `AmazonRDSDirectoryServiceAccess` verwendet.
Beispielsweise ändert der folgende CLI-Befehl einen DB-Cluster zur Verwendung eines Verzeichnisses.
```
aws rds modify-db-cluster --db-cluster-identifier mydbinstance --domain d-Directory-ID --domain-iam-role-name role-name
```
**Wichtig**
Wenn Sie einen DB-Cluster ändern, um die Kerberos-Authentifizierung zu aktivieren, starten Sie den DB-Cluster neu, nachdem Sie die Änderung vorgenommen haben.
## Schritt 7: Erstellen von PostgreSQL-Benutzern für Ihre Kerberos-Prinzipale
Zu diesem Zeitpunkt ist Ihr DB-Cluster von Aurora PostgreSQL mit der AWS Managed Microsoft AD -Domain verbunden. Die Benutzer, die Sie in dem Verzeichnis in [Schritt 4: Anlegen und Konfigurieren von Benutzern](#postgresql-kerberos-setting-up.create-users) erstellt haben, müssen als PostgreSQL-Datenbankbenutzer eingerichtet sein und über Berechtigungen verfügen, um sich bei der Datenbank anzumelden. Dazu melden Sie sich als Datenbankbenutzer mit `rds_superuser`-Rechten an. Wenn Sie beispielsweise beim Erstellen Ihres DB-Clusters von Aurora PostgreSQL die Standardeinstellungen akzeptiert haben, verwenden Sie `postgres`, wie in den folgenden Schritten gezeigt.
**So erstellen Sie PostgreSQL-Datenbankbenutzer für Ihre Kerberos-Prinzipale**
1. Verwenden Sie `psql`, um eine Verbindung mit dem DB-Instance-Endpunkt Ihres DB-Clusters von Aurora PostgreSQL mit `psql` herzustellen. Im folgenden Beispiel wird das `postgres`-Standardkonto für die `rds_superuser`-Rolle verwendet.
```
psql --host=cluster-instance-1.111122223333.aws-region.rds.amazonaws.com --port=5432 --username=postgres --password
```
1. Erstellen Sie einen Datenbankbenutzernamen für jeden Kerberos-Prinzipal (Active-Directory-Benutzername), der Zugriff auf die Datenbank haben soll. Verwenden Sie den kanonischen Benutzernamen (Identität), wie er in der Active-Directory-Instance definiert ist, d. h. einen `alias` in Kleinbuchstaben (Benutzername in Active Directory) und den Namen der Active-Directory-Domain für diesen Benutzernamen in Großbuchstaben. Der Active-Directory-Benutzername ist ein extern authentifizierter Benutzer. Setzen Sie den Namen daher in Anführungszeichen, wie im Folgenden gezeigt.
```
postgres=> CREATE USER "username@CORP.EXAMPLE.COM" WITH LOGIN;
CREATE ROLE
```
1. Weisen Sie dem Datenbankbenutzer die `rds_ad`-Rolle zu.
```
postgres=> GRANT rds_ad TO "username@CORP.EXAMPLE.COM";
GRANT ROLE
```
Nachdem Sie alle PostgreSQL-Benutzer für Ihre Active-Directory-Benutzeridentitäten erstellt haben, können Benutzer mit ihren Kerberos-Anmeldeinformationen auf den DB-Cluster von Aurora PostgreSQL zugreifen.
Es ist erforderlich, dass die Datenbankbenutzer, die sich mit Kerberos authentifizieren, dies von Client-Computern aus tun, die Mitglieder der Active-Directory-Domain sind.
Datenbankbenutzer, denen die `rds_ad`-Rolle zugewiesen wurde, können nicht auch über die `rds_iam`-Rolle verfügen. Dies gilt auch für verschachtelte Mitgliedschaften. Weitere Informationen finden Sie unter [IAM-Datenbankauthentifizierung](UsingWithRDS.IAMDBAuth.md).
### Konfigurieren Ihres DB-Clusters von Aurora PostgreSQL für Benutzernamen, bei denen die Groß-/Kleinschreibung unterschieden wird
Die Aurora-PostgreSQL-Versionen 14.5, 13.8, 12.12 und 11.17 unterstützen den PostgreSQL-Parameter `krb_caseins_users`. Dieser Parameter unterstützt Active-Directory-Benutzernamen ohne Berücksichtigung der Groß- und Kleinschreibung. Standardmäßig ist dieser Parameter auf „false“ eingestellt, sodass bei Benutzernamen von Aurora PostgreSQL zwischen Groß- und Kleinschreibung interpretiert wird. Das ist das Standardverhalten in allen älteren Versionen von Aurora PostgreSQL. Sie können diesen Parameter in Ihrer benutzerdefinierten DB-Cluster-Parametergruppe jedoch auf `true` festlegen und Ihrem DB-Cluster von Aurora PostgreSQL erlauben, Benutzernamen ohne Berücksichtigung von Groß- und Kleinschreibung zu interpretieren. Erwägen Sie, diese Einstellung als Annehmlichkeit für Ihre Datenbankbenutzer vorzunehmen, die bei der Authentifizierung mit Active Directory manchmal die Groß- und Kleinschreibung ihres Benutzernamens falsch eingeben.
Um den `krb_caseins_users`-Parameter zu ändern, muss Ihr DB-Cluster von Aurora PostgreSQL eine benutzerdefinierte DB-Cluster-Parametergruppe verwenden. Informationen über das Arbeiten mit einer benutzerdefinierten DB-Cluster-Parametergruppe finden Sie unter [Parametergruppen für Amazon Aurora](USER_WorkingWithParamGroups.md).
Sie können das AWS CLI oder das verwenden AWS-Managementkonsole , um die Einstellung zu ändern. Weitere Informationen finden Sie unter [Ändern von Parametern in einer DB-Cluster-Parametergruppe in Amazon Aurora](USER_WorkingWithParamGroups.ModifyingCluster.md).
## Schritt 8: Konfigurieren eines PostgreSQL-Clients
Gehen Sie folgendermaßen vor, um einen PostgreSQL-Client zu konfigurieren:
+ Erstellen Sie eine krb5.conf-Datei (oder eine vergleichbare Datei), um auf die Domäne zu verweisen.
+ Stellen Sie sicher, dass der Datenverkehr zwischen dem Client-Host und fließen kann Directory Service. Verwenden Sie ein Netzwerk-Dienstprogramm wie Netcat für die folgenden Aufgaben:
+ Überprüfen Sie den Datenverkehr über DNS für Port 53.
+ Überprüfen Sie den Datenverkehr TCP/UDP für Port 53 und für Kerberos, einschließlich der Ports 88 und 464 für. Directory Service
+ Stellen Sie sicher, dass der Datenverkehr zwischen dem Client-Host und der DB-Instance über den Datenbank-Port fließen kann. Verwenden Sie beispielsweise psql, um eine Verbindung herzustellen und auf die Datenbank zuzugreifen.
Im Folgenden finden Sie einen krb5.conf-Beispielinhalt für. AWS Managed Microsoft AD
```
[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = example.com
admin_server = example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
```
Nachfolgend ein Beispiel für den Inhalt von krb5.conf für ein lokales Microsoft Active Directory.
```
[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = example.com
admin_server = example.com
}
ONPREM.COM = {
kdc = onprem.com
admin_server = onprem.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
.onprem.com = ONPREM.COM
onprem.com = ONPREM.COM
.rds.amazonaws.com = EXAMPLE.COM
.amazonaws.com.rproxy.govskope.ca.cn = EXAMPLE.COM
.amazon.com = EXAMPLE.COM
```
# Verwaltung eines Aurora PostgreSQL-DB-Clusters (
Sie können die Konsole, die CLI oder die RDS-API verwenden, um Ihren DB-Cluster und ihre Beziehung zu Ihrem Microsoft Active Directory zu verwalten. Sie können z. B. ein Active Directory zuordnen, um die Kerberos-Authentifizierung zu aktivieren. Sie können auch die Zuordnung für ein Active Directory entfernen, um die Kerberos-Authentifizierung zu deaktivieren. Sie können auch DB-Cluster verschieben, die von einem Microsoft Active Directory zu einem anderen extern authentifiziert werden.
Sie können z. B. mithilfe der CLI Folgendes tun:
+ Verwenden Sie den CLI-Befehl, um erneut zu versuchen, die Kerberos-Authentifizierung für eine fehlgeschlagene Mitgliedschaft zu aktivieren. Geben Sie die Verzeichnis-ID der aktuellen Mitgliedschaft für die Option `--domain` an.
+ Verwenden Sie den CLI-Befehl, um die Kerberos-Authentifizierung auf einer DB-Instance zu deaktivieren. Geben Sie `none` für die Option `--domain` an.
+ Verwenden Sie den CLI-Befehl, um eine DB-Instance von einer Domain in eine andere zu verschieben. Geben Sie die Domänen-ID der neuen Domäne für die Option `--domain` an.
## Grundlegendes zur Domänenmitgliedschaft
Nachdem Sie Ihren DB-Cluster erstellt oder geändert haben, werden die DB-Instances zu Mitgliedern der Domäne. Sie können den Status der Domänenmitgliedschaft in der Konsole oder durch Ausführen des [describe-db-instances](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-instances.html)CLI-Befehls anzeigen. Der Status der DB-Instance kann einer der folgenden sein:
+ `kerberos-enabled` – Für die DB-Instance ist die Kerberos-Authentifizierung aktiviert.
+ `enabling-kerberos`— AWS ist dabei, die Kerberos-Authentifizierung für diese DB-Instance zu aktivieren.
+ `pending-enable-kerberos` – Das Aktivieren der Kerberos-Authentifizierung ist für diese DB-Instance ausstehend.
+ `pending-maintenance-enable-kerberos`— AWS wird versuchen, die Kerberos-Authentifizierung auf der DB-Instance während des nächsten geplanten Wartungsfensters zu aktivieren.
+ `pending-disable-kerberos` – Das Deaktivieren der Kerberos-Authentifizierung ist für diese DB-Instance ausstehend.
+ `pending-maintenance-disable-kerberos`— AWS wird versuchen, die Kerberos-Authentifizierung auf der DB-Instance während des nächsten geplanten Wartungsfensters zu deaktivieren.
+ `enable-kerberos-failed`— Ein Konfigurationsproblem AWS verhinderte die Aktivierung der Kerberos-Authentifizierung auf der DB-Instance. Beheben Sie das Konfigurationsproblem, bevor Sie den Befehl zum Ändern der DB-Instance erneut ausgeben.
+ `disabling-kerberos`— AWS ist dabei, die Kerberos-Authentifizierung auf dieser DB-Instance zu deaktivieren.
Eine Anfrage zur Aktivierung der Kerberos-Authentifizierung kann wegen eines Netzwerkverbindungsproblems oder einer falschen IAM-Rolle fehlschlagen. In einigen Fällen kann der Versuch, die Kerberos-Authentifizierung zu aktivieren, fehlschlagen, wenn Sie einen DB-Cluster erstellen oder ändern. Wenn dies passiert, stellen Sie sicher, dass Sie die richtige IAM-Rolle verwenden, und ändern Sie dann den DB-Cluster, um der Domäne beizutreten.
# Herstellen einer Verbindung zu PostgreSQL mit Kerberos-Authentifizierung
Sie können sich über die pgAdmin-Schnittstelle oder über eine Befehlszeilenschnittstelle wie psql per Kerberos-Authentifizierung mit PostgreSQL verbinden. Weitere Informationen zum Herstellen von Verbindungen finden Sie unter [Herstellen einer Verbindung mit einem Amazon-Aurora-PostgreSQL-DB-Cluster](Aurora.Connecting.md#Aurora.Connecting.AuroraPostgreSQL). Informationen zum Abrufen des Endpunkts, der Portnummer und anderer Details, die für die Verbindung benötigt werden, finden Sie unter [Anzeigen der Endpunkte für einen Aurora-Cluster](Aurora.Overview.Endpoints.md#Aurora.Endpoints.Viewing).
**Anmerkung**
GSSAPI-Authentifizierung und Verschlüsselung in PostgreSQL werden von der Kerberos-Bibliothek `libkrb5.so` implementiert. Features wie `postgres_fdw` und `dblink` beruhen ebenfalls auf dieser Bibliothek für ausgehende Verbindungen mit Kerberos-Authentifizierung oder -Verschlüsselung.
## pgAdmin
Um pgAdmin für die Verbindung zu PostgreSQL mit Kerberos-Authentifizierung zu verwenden, führen Sie die folgenden Schritte aus:
1. Starten Sie die Anwendung pgAdmin auf Ihrem Client-Computer.
1. Klicken Sie auf der Registerkarte **Dashboard** auf **Add New Server** (Neuen Server hinzufügen).
1. Geben Sie im Dialogfeld **(Erstellen – Server)** auf der Registerkarte **Allgemein** einen Namen für den Server in pgAdmin ein.
1. Geben Sie auf der Registerkarte **Connection** (Verbindung) die folgenden Informationen aus der Datenbank von Aurora PostgreSQL ein:
+ Geben Sie für **Host** den Endpunkt für die Writer-Instance Ihres DB-Clusters von Aurora PostgreSQL an. Ein Endpunkt sieht in etwa wie folgt aus:
```
AUR-cluster-instance.111122223333.aws-region.rds.amazonaws.com
```
Um von einem Windows-Client aus eine Verbindung zu einem lokalen Microsoft Active Directory herzustellen, verwenden Sie den Domänennamen des AWS Managed Active Directory anstelle des `rds.amazonaws.com` Host-Endpunkts. Nehmen wir zum Beispiel an, der Domänenname für das AWS verwaltete Active Directory lautet`corp.example.com`. Für **Host** würde der Endpunkt wie folgt angegeben werden:
```
AUR-cluster-instance.111122223333.aws-region.corp.example.com
```
+ Geben Sie unter **Port** den zugewiesenen Port ein.
+ Geben Sie unter **Wartungsdatenbank** den Namen der initialen Datenbank ein, mit der sich der Client verbinden soll.
+ Geben Sie unter **Benutzername** den Benutzernamen ein, den Sie für die Kerberos-Authentifizierung in [Schritt 7: Erstellen von PostgreSQL-Benutzern für Ihre Kerberos-Prinzipale](postgresql-kerberos-setting-up.md#postgresql-kerberos-setting-up.create-logins) eingegeben haben.
1. Wählen Sie **Speichern**.
## Psql
Um psql für die Verbindung mit PostgreSQL mit Kerberos-Authentifizierung zu verwenden, führen Sie die folgenden Schritte aus:
1. Führen Sie an einer Eingabeaufforderung den folgenden Befehl aus.
```
kinit username
```
Ersetzen Sie *`username`* durch den Benutzernamen. Geben Sie in der Eingabeaufforderung das im Microsoft Active Directory für den Benutzer gespeicherte Passwort ein.
1. Wenn der PostgreSQL-DB-Cluster eine öffentlich zugängliche VPC verwendet, geben Sie eine IP-Adresse für Ihren DB-Cluster-Endpunkt in Ihrer `/etc/hosts`-Datei auf dem EC2-Client ein. Die folgenden Befehle rufen beispielsweise die IP-Adresse ab und fügen sie dann in die `/etc/hosts`-Datei ein.
```
% dig +short PostgreSQL-endpoint.AWS-Region.rds.amazonaws.com
;; Truncated, retrying in TCP mode.
ec2-34-210-197-118.AWS-Region.compute.amazonaws.com.
34.210.197.118
% echo " 34.210.197.118 PostgreSQL-endpoint.AWS-Region.rds.amazonaws.com" >> /etc/hosts
```
Wenn Sie eine lokale Microsoft Active Directory von einem Windows-Client verwenden, müssen Sie eine Verbindung über einen speziellen Endpunkt herstellen. Anstatt die Amazon-Domain `rds.amazonaws.com` im Host-Endpunkt zu verwenden, verwenden Sie den Domainnamen des AWS Managed Active Directory.
Nehmen wir zum Beispiel an, der Domainname für Ihr AWS Managed Active Directory lautet`corp.example.com`. Verwenden Sie dann das Format `PostgreSQL-endpoint.AWS-Region.corp.example.com` für den Endpunkt und legen Sie es in der `/etc/hosts`-Datei ab.
```
% echo " 34.210.197.118 PostgreSQL-endpoint.AWS-Region.corp.example.com" >> /etc/hosts
```
1. Verwenden Sie den folgenden psql-Befehl, um sich bei einem PostgreSQL-DB-Cluster anzumelden, der/die in Active Directory integriert ist. Verwenden Sie einen Cluster oder Instance-Endpunkt.
```
psql -U username@CORP.EXAMPLE.COM -p 5432 -h PostgreSQL-endpoint.AWS-Region.rds.amazonaws.com postgres
```
Um sich beim PostgreSQL DB-Cluster von einem Windows-Client aus unter Verwendung eines lokalen Active Directory anzumelden, verwenden Sie den folgenden psql-Befehl mit dem Domänennamen aus dem vorhergehenden Schritt (`corp.example.com`):
```
psql -U username@CORP.EXAMPLE.COM -p 5432 -h PostgreSQL-endpoint.AWS-Region.corp.example.com postgres
```
# Verwenden von AD-Sicherheitsgruppen für die Aurora-PostgreSQL-Zugriffskontrolle
Ab den Versionen Aurora PostgreSQL 14.10 und 15.5 kann die Aurora PostgreSQL-Zugriffskontrolle mithilfe des AWS Directory Service für Microsoft Active Directory (AD) -Sicherheitsgruppen verwaltet werden. Frühere Versionen von Aurora PostgreSQL unterstützen die Kerberos-basierte Authentifizierung mittels AD nur für einzelne Benutzer. Jeder AD-Benutzer musste explizit für den DB-Cluster bereitgestellt werden, um Zugriff zu erhalten.
Anstatt jeden AD-Benutzer je nach Geschäftsanforderungen explizit für den DB-Cluster bereitzustellen, können Sie AD-Sicherheitsgruppen wie unten beschrieben nutzen:
+ AD-Benutzer sind Mitglieder verschiedener AD-Sicherheitsgruppen in einem Active Directory. Diese werden nicht vom DB-Clusteradministrator vorgegeben, sondern basieren auf Geschäftsanforderungen und werden von einem AD-Administrator verwaltet.
+ DB-Cluster-Administratoren erstellen DB-Rollen in DB-Instances auf der Grundlage von Geschäftsanforderungen. Diese DB-Rollen können unterschiedliche Berechtigungen haben.
+ DB-Cluster-Administratoren konfigurieren eine Zuordnung von AD-Sicherheitsgruppen zu DB-Rollen auf DB-Cluster-Basis.
+ DB-Benutzer können mit ihren AD-Anmeldeinformationen auf DB-Cluster zugreifen. Der Zugriff richtet sich nach der Mitgliedschaft in einer AD-Sicherheitsgruppe. AD-Benutzer erhalten oder verlieren automatisch Zugriff auf der Grundlage ihrer AD-Gruppenmitgliedschaften.
## Voraussetzungen
Vor dem Einrichten der Erweiterung für AD-Sicherheitsgruppen muss Folgendes durchgeführt worden sein:
+ Einrichten einer Kerberos-Authentifizierung für PostgreSQL-DB-Cluster. Weitere Informationen finden Sie unter [Einrichtung der Kerberos-Authentifizierung für PostgreSQL-DB-Cluster](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/postgresql-kerberos-setting-up.html).
**Anmerkung**
Überspringen Sie für AD-Sicherheitsgruppen Schritt 7: Erstellen von PostgreSQL-Benutzern für Kerberos-Prinzipale in diesem Einrichtungsverfahren.
**Wichtig**
Wenn Sie AD-Sicherheitsgruppen in einem Aurora PostgreSQL-Cluster aktivieren, für den die Kerberos-Authentifizierung bereits aktiviert ist, können Authentifizierungsprobleme auftreten. Dies passiert, wenn Sie `pg_ad_mapping` zum Parameter `shared_preload_libraries` hinzufügen und Ihre Datenbank neu starten. Bei der Verwendung von Cluster-Endpunkten können Anmeldeversuche mit einem AD-Benutzer fehlschlagen, der kein Datenbankbenutzer ist, der die Rolle `rds_ad` innehat. Dies kann möglicherweise auch zu Abstürzen der Engine führen. Um dieses Problem zu beheben, deaktivieren Sie die Kerberos-Authentifizierung in Ihrem Cluster und aktivieren Sie sie anschließend erneut. Diese Problemumgehung ist für vorhandene Instances erforderlich, wirkt sich jedoch nicht auf solche aus, die nach April 2025 erstellt wurden.
+ Verwalten eines DB-Clusters in einer Domain. Weitere Informationen finden Sie unter [Verwalten eines DB-Clusters in einer Domain](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/postgresql-kerberos-managing.html).
## Einrichten der pg\$1ad\$1mapping-Erweiterung
Aurora PostgreSQL bietet jetzt eine `pg_ad_mapping`-Erweiterung zur Verwaltung der Zuordnung zwischen AD-Sicherheitsgruppen und DB-Rollen im Aurora PostgreSQL-Cluster. Weitere Informationen zu den von `pg_ad_mapping` bereitgestellten Funktionen finden Sie unter [Verwenden von Funktionen der `pg_ad_mapping`-Erweiterung](#AD.Security.Groups.functions).
Wenn Sie die `pg_ad_mapping`-Erweiterung in Ihrem DB-Cluster von Aurora PostgreSQL bereitstellen möchten, fügen Sie zunächst `pg_ad_mapping` zu den freigegebenen Bibliotheken in der benutzerdefinierten DB-Parametergruppe für Ihren DB-Cluster von Aurora PostgreSQL hinzu. Weitere Informationen zum Erstellen einer benutzerdefinierten DB-Cluster-Parametergruppe finden Sie unter [Parametergruppen für Amazon Aurora](USER_WorkingWithParamGroups.md). Als Nächstes installieren Sie die `pg_ad_mapping`-Erweiterung. Die Schritte in diesem Abschnitt veranschaulichen die Vorgehensweise. Sie können das oder das verwenden. AWS-Managementkonsole AWS CLI
Sie müssen über Berechtigungen als `rds_superuser`-Rolle verfügen, um alle diese Aufgaben ausführen zu können.
Bei den folgenden Schritten wird davon ausgegangen, dass Ihr DB-Cluster von Aurora PostgreSQL einer benutzerdefinierten DB-Cluster-Parametergruppe zugeordnet ist.
### Konsole
**So richten Sie die `pg_ad_mapping`-Erweiterung ein**
1. Melden Sie sich bei der an AWS-Managementkonsole und öffnen Sie die Amazon RDS-Konsole unter [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. Wählen Sie im Navigationsbereich die Writer-Instance des DB-Clusters von Aurora PostgreSQL aus.
1. Öffnen Sie die Registerkarte **Konfiguration** für Ihre Writer-Instance des DB-Clusters von Aurora PostgreSQL. Suchen Sie in den Instance-Details den Link **Parameter group** (Parametergruppe).
1. Wählen Sie den Link aus, um die benutzerdefinierten Parameter zu öffnen, die Ihrem DB-Cluster von Aurora PostgreSQL zugeordnet sind.
1. Geben Sie in das Suchfeld **Parameters** (Parameter) `shared_pre` ein, um den `shared_preload_libraries`-Parameter zu finden.
1. Wählen Sie **Edit parameters** (Parameter bearbeiten) aus, um auf die Eigenschaftswerte zuzugreifen.
1. Fügen Sie `pg_ad_mapping` der Liste im Feld **Values** (Werte) hinzu. Verwenden Sie ein Komma, um Elemente in der Werteliste zu trennen.
![\[Bild des shared_preload_libaries-Parameters mit hinzugefügter pgAudit-Erweiterung.\]](http://docs.aws.amazon.com/de_de/AmazonRDS/latest/AuroraUserGuide/images/apg_shared_preload_pgadmapping.png)
1. Starten Sie die Writer-Instance Ihres DB-Clusters von Aurora PostgreSQL neu, damit Ihre Änderung des `shared_preload_libraries`-Parameters wirksam wird.
1. Wenn die Instance verfügbar ist, überprüfen Sie, ob `pg_ad_mapping` initialisiert wurde. Stellen Sie über `psql` eine Verbindung mit der Writer-Instance Ihres DB-Clusters von Aurora PostgreSQL her und führen Sie den folgenden Befehl aus.
```
SHOW shared_preload_libraries;
shared_preload_libraries
--------------------------
rdsutils,pg_ad_mapping
(1 row)
```
1. Sobald `pg_ad_mapping` initialisiert ist, können Sie die Erweiterung erstellen. Sie müssen die Erweiterung nach dem Initialisieren der Bibliothek erstellen, um die von der Erweiterung bereitgestellten Funktionen verwenden zu können.
```
CREATE EXTENSION pg_ad_mapping;
```
1. Schließen Sie die `psql`-Sitzung.
```
labdb=> \q
```
### AWS CLI
**So richten Sie pg\$1ad\$1mapping ein**
Um pg\$1ad\$1mapping mit dem einzurichten AWS CLI, rufen Sie den [modify-db-parameter-group](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-parameter-group.html)Vorgang auf, um diesen Parameter zu Ihrer benutzerdefinierten Parametergruppe hinzuzufügen, wie im folgenden Verfahren gezeigt.
1. Verwenden Sie den folgenden AWS CLI Befehl, um den Parameter zu erweitern`pg_ad_mapping`. `shared_preload_libraries`
```
aws rds modify-db-parameter-group \
--db-parameter-group-name custom-param-group-name \
--parameters "ParameterName=shared_preload_libraries,ParameterValue=pg_ad_mapping,ApplyMethod=pending-reboot" \
--region aws-region
```
1. Verwenden Sie den folgenden AWS CLI Befehl, um die Writer-Instance Ihres Aurora PostgreSQL-DB-Clusters neu zu starten, sodass das pg\$1ad\$1mapping initialisiert wird.
```
aws rds reboot-db-instance \
--db-instance-identifier writer-instance \
--region aws-region
```
1. Wenn die Instance verfügbar ist, können Sie überprüfen, ob `pg_ad_mapping` initialisiert wurde. Stellen Sie über `psql` eine Verbindung mit der Writer-Instance Ihres DB-Clusters von Aurora PostgreSQL her und führen Sie den folgenden Befehl aus.
```
SHOW shared_preload_libraries;
shared_preload_libraries
--------------------------
rdsutils,pg_ad_mapping
(1 row)
```
Sobald pg\$1ad\$1mapping initialisiert ist, können Sie die Erweiterung erstellen.
```
CREATE EXTENSION pg_ad_mapping;
```
1. Schließen Sie die `psql`-Sitzung, damit Sie die AWS CLI verwenden können.
```
labdb=> \q
```
## Die Active Directory-Gruppen-SID wird abgerufen in PowerShell
Eine Sicherheits-ID (SID) wird verwendet, um einen Sicherheitsprinzipal oder eine Sicherheitsgruppe eindeutig zu identifizieren. Immer wenn eine Sicherheitsgruppe oder ein Konto in Active Directory erstellt wird, wird dieser bzw. diesem eine SID zugewiesen. Um die SID der AD-Sicherheitsgruppe aus dem Active Directory abzurufen, können Sie das Get-ADGroup Cmdlet vom Windows-Client-Computer verwenden, der mit dieser Active Directory-Domäne verbunden ist. Der Identity-Parameter gibt den Active-Directory-Gruppennamen zum Abrufen der entsprechenden SID an.
Das folgende Beispiel gibt die SID der AD-Gruppe zurück. *adgroup1*
```
C:\Users\Admin> Get-ADGroup -Identity adgroup1 | select SID
SID
-----------------------------------------------
S-1-5-21-3168537779-1985441202-1799118680-1612
```
## Zuordnen der DB-Rolle zur AD-Sicherheitsgruppe
Sie müssen die AD-Sicherheitsgruppen in der Datenbank explizit als PostgreSQL-DB-Rolle bereitstellen. Ein AD-Benutzer, der Teil mindestens einer bereitgestellten AD-Sicherheitsgruppe ist, erhält Zugriff auf die Datenbank. Sie sollten der auf AD-Gruppensicherheit basierenden DB-Rolle nicht die Rolle `rds_ad role` zuweisen. Die Kerberos-Authentifizierung für die Sicherheitsgruppe wird mit dem Domänennamensuffix like ausgelöst. *user1@example.com* Diese DB-Rolle unterstützt keine Passwort- oder IAM-Authentifizierung für den Zugriff auf die Datenbank.
**Anmerkung**
AD-Benutzer, die über eine entsprechende DB-Rolle in der Datenbank mit der ihnen zugewiesenen `rds_ad`-Rolle verfügen, können sich nicht als Teil der AD-Sicherheitsgruppe anmelden. Sie erhalten Zugriff über die DB-Rolle als Einzelbenutzer.
So ist accounts-group beispielsweise eine Sicherheitsgruppe in AD, für die Sie diese Sicherheitsgruppe in Aurora PostgreSQL als accounts-role bereitstellen möchten.
| AD-Sicherheitsgruppe | PostgreSQL-DB-Rolle |
| --- | --- |
| accounts-group | accounts-role |
Wenn Sie die DB-Rolle der AD-Sicherheitsgruppe zuordnen, müssen Sie sicherstellen, dass für die DB-Rolle das LOGIN-Attribut festgelegt ist und dass sie über die CONNECT-Berechtigungen für die erforderliche Anmeldedatenbank verfügt.
```
postgres => alter role accounts-role login;
ALTER ROLE
postgres => grant connect on database accounts-db to accounts-role;
```
Der Administrator kann nun mit der Erstellung der Zuordnung zwischen der AD-Sicherheitsgruppe und der PostgreSQL-DB-Rolle fortfahren.
```
admin=>select pgadmap_set_mapping('accounts-group', 'accounts-role', , );
```
Informationen zum Abrufen der SID der AD-Sicherheitsgruppe finden Sie unter [Die Active Directory-Gruppen-SID wird abgerufen in PowerShell](#AD.Security.Groups.retrieving).
Es ist möglich, dass ein AD-Benutzer mehreren Gruppen angehört. In diesem Fall erbt der AD-Benutzer die Berechtigungen der DB-Rolle, da diese mit der höchsten Gewichtung bereitgestellt wurde. Ist die Gewichtung der beiden Rollen identisch, erbt der AD-Benutzer die Berechtigungen der DB-Rolle, die der kürzlich hinzugefügten Zuordnung entspricht. Es wird empfohlen, Gewichtungen anzugeben, die das Verhältnis permissions/privileges der einzelnen DB-Rollen widerspiegeln. Je höher die Berechtigung einer DB-Rolle, desto höher die Gewichtung, die dem Zuordnungseintrag zugewiesen werden sollte. Dadurch wird eine Mehrdeutigkeit vermieden, da es keine zwei Zuordnungen mit identischer Gewichtung gibt.
Die folgende Tabelle zeigt ein Beispiel einer Zuordnung von AD-Sicherheitsgruppen zu DB-Rollen von Aurora PostgreSQL.
| AD-Sicherheitsgruppe | PostgreSQL-DB-Rolle | Gewicht |
| --- | --- | --- |
| accounts-group | accounts-role | 7 |
| sales-group | sales-role | 10 |
| dev-group | dev-role | 7 |
Im folgenden Beispiel erbt `user1` die Berechtigungen von sales-role aufgrund der höheren Gewichtung. `user2` erbt die Berechtigungen von `dev-role`, da die Zuordnung dieser Rolle nach `accounts-role` erstellt wurde, welche dieselbe Gewichtung haben wie `accounts-role`.
| Username | Sicherheitsgruppenmitgliedschaft |
| --- | --- |
| Benutzer 1 | accounts-group sales-group |
| user2 | accounts-group dev-group |
Die psql-Befehle zum Erstellen, Auflisten und Löschen der Zuordnungen sind unten aufgeführt. Derzeit ist es nicht möglich, einen einzelnen Zuordnungseintrag zu ändern. Der bestehende Eintrag muss gelöscht und die Zuordnung neu erstellt werden.
```
admin=>select pgadmap_set_mapping('accounts-group', 'accounts-role', 'S-1-5-67-890', 7);
admin=>select pgadmap_set_mapping('sales-group', 'sales-role', 'S-1-2-34-560', 10);
admin=>select pgadmap_set_mapping('dev-group', 'dev-role', 'S-1-8-43-612', 7);
admin=>select * from pgadmap_read_mapping();
ad_sid | pg_role | weight | ad_grp
-------------+----------------+--------+---------------
S-1-5-67-890 | accounts-role | 7 | accounts-group
S-1-2-34-560 | sales-role | 10 | sales-group
S-1-8-43-612 | dev-role | 7 | dev-group
(3 rows)
```
## Protokollierung/Prüfung der AD-Benutzeridentität
Verwenden Sie den folgenden Befehl, um die Datenbankrolle zu ermitteln, die vom aktuellen oder vom Sitzungsbenutzer geerbt wurde:
```
postgres=>select session_user, current_user;
session_user | current_user
-------------+--------------
dev-role | dev-role
(1 row)
```
Verwenden Sie den folgenden Befehl, um die Identität des AD-Sicherheitsprinzipals zu ermitteln:
```
postgres=>select principal from pg_stat_gssapi where pid = pg_backend_pid();
principal
-------------------------
user1@example.com
(1 row)
```
Derzeit ist die AD-Benutzeridentität in den Prüfungsprotokollen nicht sichtbar. Der `log_connections`-Parameter kann aktiviert werden, um die Einrichtung einer DB-Sitzung zu protokollieren. Weitere Informationen finden Sie unter [log\$1connections](https://docs.aws.amazon.com/prescriptive-guidance/latest/tuning-postgresql-parameters/log-connections.html). Die Ausgabe hierfür beinhaltet die AD-Benutzeridentität, wie unten dargestellt. Die dieser Ausgabe zugeordnete Backend-PID kann dann dabei helfen, Aktionen dem tatsächlichen AD-Benutzer zuzuordnen.
```
pgrole1@postgres:[615]:LOG: connection authorized: user=pgrole1 database=postgres application_name=psql GSS (authenticated=yes, encrypted=yes, principal=Admin@EXAMPLE.COM)
```
## Einschränkungen
+ Microsoft Entra ID, auch bekannt als Azure Active Directory, wird nicht unterstützt.
## Verwenden von Funktionen der `pg_ad_mapping`-Erweiterung
Die `pg_ad_mapping`-Erweiterung unterstützte die folgenden Funktionen:
### pgadmap\$1set\$1mapping
Diese Funktion stellt die Zuordnung zwischen der AD-Sicherheitsgruppe und der Datenbankrolle mit einer zugehörigen Gewichtung her.
#### Syntax
```
pgadmap_set_mapping(
ad_group,
db_role,
ad_group_sid,
weight)
```
#### Argumente
| Parameter | Description |
| --- | --- |
| ad\$1group | Der Name der AD-Gruppe Der Wert kann weder Null noch eine leere Zeichenfolge sein. |
| db\$1role | Datenbankrolle, die der angegebenen AD-Gruppe zugeordnet werden soll Der Wert kann weder Null noch eine leere Zeichenfolge sein. |
| ad\$1group\$1sid | Die Sicherheits-ID, die zur eindeutigen Identifizierung der AD-Gruppe verwendet wird Der Wert beginnt mit „S-1-“ und darf weder Null noch eine leere Zeichenfolge sein. Weitere Informationen finden Sie unter [Die Active Directory-Gruppen-SID wird abgerufen in PowerShell](#AD.Security.Groups.retrieving). |
| Gewichtung | Gewichtung, die der Datenbankrolle zugewiesen ist Die Rolle mit der höchsten Gewichtung hat Vorrang, wenn der Benutzer Mitglied mehrerer Gruppen ist. Der Standardwert für die Gewichtung ist 1. |
#### Rückgabetyp
`None`
#### Nutzungshinweise
Diese Funktion fügt eine neue Zuordnung von der AD-Sicherheitsgruppe zur Datenbankrolle hinzu. Sie kann nur von einem Benutzer mit rds\$1superuser privilege-Berechtigung auf der primären DB-Instance des DB-Clusters ausgeführt werden.
#### Beispiele
```
postgres=> select pgadmap_set_mapping('accounts-group','accounts-role','S-1-2-33-12345-67890-12345-678',10);
pgadmap_set_mapping
(1 row)
```
### pgadmap\$1read\$1mapping
Diese Funktion listet die Zuordnungen zwischen der AD-Sicherheitsgruppe und der DB-Rolle auf, die mithilfe der Funktion `pgadmap_set_mapping` festgelegt wurde.
#### Syntax
```
pgadmap_read_mapping()
```
#### Argumente
`None`
#### Rückgabetyp
| Parameter | Description |
| --- | --- |
| ad\$1group\$1sid | Die Sicherheits-ID, die zur eindeutigen Identifizierung der AD-Gruppe verwendet wird Der Wert beginnt mit „S-1-“ und darf weder Null noch eine leere Zeichenfolge sein. Weitere Informationen dazu finden Sie unter [Die Active Directory-Gruppen-SID wird abgerufen in PowerShell](#AD.Security.Groups.retrieving).accounts-role@example.com. |
| db\$1role | Datenbankrolle, die der angegebenen AD-Gruppe zugeordnet werden soll Der Wert kann weder Null noch eine leere Zeichenfolge sein. |
| Gewichtung | Gewichtung, die der Datenbankrolle zugewiesen ist Die Rolle mit der höchsten Gewichtung hat Vorrang, wenn der Benutzer Mitglied mehrerer Gruppen ist. Der Standardwert für die Gewichtung ist 1. |
| ad\$1group | Der Name der AD-Gruppe Der Wert kann weder Null noch eine leere Zeichenfolge sein. |
#### Nutzungshinweise
Rufen Sie diese Funktion auf, um alle verfügbaren Zuordnungen zwischen der AD-Sicherheitsgruppe und der DB-Rolle aufzulisten.
#### Beispiele
```
postgres=> select * from pgadmap_read_mapping();
ad_sid | pg_role | weight | ad_grp
------------------------------------+---------------+--------+------------------
S-1-2-33-12345-67890-12345-678 | accounts-role | 10 | accounts-group
(1 row)
(1 row)
```
### pgadmap\$1reset\$1mapping
Diese Funktion setzt eine oder alle Zuordnungen zurück, die mit der Funktion `pgadmap_set_mapping` festgelegt wurden.
#### Syntax
```
pgadmap_reset_mapping(
ad_group_sid,
db_role,
weight)
```
#### Argumente
| Parameter | Description |
| --- | --- |
| ad\$1group\$1sid | Die Sicherheits-ID, die zur eindeutigen Identifizierung der AD-Gruppe verwendet wird |
| db\$1role | Datenbankrolle, die der angegebenen AD-Gruppe zugeordnet werden soll |
| Gewichtung | Gewichtung, die der Datenbankrolle zugewiesen ist |
Wenn keine Argumente angegeben werden, werden alle Zuordnungen von AD-Gruppen zu DB-Rollen zurückgesetzt. Es müssen entweder alle Argumente angegeben werden oder keine.
#### Rückgabetyp
`None`
#### Nutzungshinweise
Rufen Sie diese Funktion auf, um eine bestimmte Zuordnung einer AD-Gruppe zu einer DB-Rolle zu löschen oder um alle Zuordnungen zurückzusetzen. Diese Funktion kann nur von einem Benutzer mit `rds_superuser`-Berechtigung auf der primären DB-Instance des DB-Clusters ausgeführt werden.
#### Beispiele
```
postgres=> select * from pgadmap_read_mapping();
ad_sid | pg_role | weight | ad_grp
--------------------------------+--------------+-------------+-------------------
S-1-2-33-12345-67890-12345-678 | accounts-role| 10 | accounts-group
S-1-2-33-12345-67890-12345-666 | sales-role | 10 | sales-group
(2 rows)
postgres=> select pgadmap_reset_mapping('S-1-2-33-12345-67890-12345-678', 'accounts-role', 10);
pgadmap_reset_mapping
(1 row)
postgres=> select * from pgadmap_read_mapping();
ad_sid | pg_role | weight | ad_grp
--------------------------------+--------------+-------------+---------------
S-1-2-33-12345-67890-12345-666 | sales-role | 10 | sales-group
(1 row)
postgres=> select pgadmap_reset_mapping();
pgadmap_reset_mapping
(1 row)
postgres=> select * from pgadmap_read_mapping();
ad_sid | pg_role | weight | ad_grp
--------------------------------+--------------+-------------+--------------
(0 rows)
```