Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Datenbankauthentifizierung mit Amazon RDS
Amazon RDS unterstützt mehrere Methoden zur Authentifizierung von Datenbankbenutzern.
Passwort-, Kerberos- und IAM-Datenbank-Authentifizierung verwenden verschiedene Methoden zur Authentifizierung bei der Datenbank. Daher kann sich ein bestimmter Benutzer mit nur einer einzigen Authentifizierungsmethode bei einer Datenbank anmelden.
Verwenden Sie für PostgreSQL nur eine der folgenden Rolleneinstellungen für einen Benutzer einer bestimmten Datenbank:
-
Um die IAM-Datenbank-Authentifizierung zu verwenden, weisen Sie die
rds_iam-Rolle dem Benutzer zu. -
Um Kerberos-Authentifizierung zu verwenden, weisen Sie die
rds_ad-Rolle dem Benutzer zu. -
Um die Passwort-Authentifizierung zu verwenden, weisen Sie keine der beiden
rds_iam- oderrds_ad- Rollen dem Benutzer zu.
Weisen Sie nicht beide Rollen rds_iam und rds_ad einem Benutzer einer PostgreSQL-Datenbank zu, weder direkt noch indirekt durch verschachtelten gewährtem Zugriff. Wenn die rds_iam-Rolle dem Hauptbenutzer hinzugefügt wird, hat die IAM-Authentifizierung Vorrang vor der Passwort-Authentifizierung, so dass sich der Hauptbenutzer als IAM-Benutzer anmelden muss.
Wichtig
Wir empfehlen Ihnen, den Hauptbenutzer nicht direkt in Ihren Anwendungen zu verwenden. Bleiben Sie stattdessen bei der bewährten Methode, einen Datenbankbenutzer zu verwenden, der mit den Mindestberechtigungen erstellt wurde, die für Ihre Anwendung erforderlich sind.
Passwortauthentifizierung
Mit der Passwortauthentifizierung führt Ihre Datenbank die gesamte Verwaltung von Benutzerkonten durch. Sie erstellen Benutzer mit SQL-Anweisungen wie CREATE USER, mit der entsprechenden Klausel, die von der DB-Engine zum Angeben von Kennwörtern benötigt wird. In MySQL lautet die Anweisung beispielsweise CREATE
USER name IDENTIFIED BYpassword, während in PostgreSQL die Anweisung lautet. CREATE USER name WITH PASSWORD password
Mit der Passwortauthentifizierung steuert und authentifiziert Ihre Datenbank Benutzerkonten. Wenn eine DB-Engine über starke Passwortverwaltungsfunktionen verfügt, können diese die Sicherheit erhöhen. Die Datenbankauthentifizierung ist möglicherweise einfacher mit der Passwortauthentifizierung zu verwalten, wenn Sie kleine Benutzergemeinschaften haben. Da in diesem Fall Klartext-Passwörter generiert werden, AWS Secrets Manager kann die Integration mit die Sicherheit erhöhen.
Informationen zur Verwendung von Secrets Manager mit Amazon RDS finden Sie unter Creating a Basic Secret und Roting Secrets for supported Amazon RDS databases im AWS Secrets Manager User Guide. Informationen zum programmgesteuerten Abrufen Ihrer Secrets in Ihren benutzerdefinierten Anwendungen finden Sie unter Abrufen des Secret-Werts im AWS Secrets Manager -Benutzerhandbuch.
IAM-Datenbankauthentifizierung
Sie können sich bei Ihrem mithilfe der AWS Identity and Access Management (IAM-) Datenbankauthentifizierung authentifizieren. Stattdessen verwenden Sie ein Authentifizierungstoken.
Weitere Informationen zur IAM-Datenbankauthentifizierung, einschließlich Informationen zur Verfügbarkeit bestimmter DB-Engines, finden Sie unterIAM-Datenbankauthentifizierung für MariaDB, MySQL und PostgreSQL.
Kerberos-Authentifizierung
Amazon RDS unterstützt die externe Authentifizierung von Datenbankbenutzern mithilfe von Kerberos und Microsoft Active Directory. Kerberos ist ein Netzwerk-Authentifizierungsprotokoll, das Tickets und symmetrische Schlüsselkryptographie verwendet, um die Notwendigkeit der Übertragung von Passwörtern über das Netzwerk zu vermeiden. Kerberos wurde in Active Directory integriert und wurde entwickelt, um Benutzer gegenüber Netzwerkressourcen wie Datenbanken zu authentifizieren.
Die Amazon RDS-Unterstützung für Kerberos und Active Directory bietet die Vorteile von Single Sign-On und zentraler Authentifizierung von Datenbankbenutzern. Sie können Ihre Benutzeranmeldeinformationen in Active Directory speichern.
Um Anmeldeinformationen aus Ihrem selbstverwalteten Active Directory zu verwenden, müssen Sie eine Vertrauensbeziehung zu dem AWS Directory Service für Microsoft Active Directory einrichten, mit dem der verbunden ist.
RDS für PostgreSQL und RDS für MySQL Aurora PostgreSQL und Aurora MySQL bidirektionale Forest-Trust-Beziehungen mit gesamtstrukturweiter Authentifizierung oder selektiver Authentifizierung.
In einigen Szenarien können Sie die Kerberos-Authentifizierung über eine externe Vertrauensbeziehung konfigurieren. Dazu muss Ihr selbstverwaltetes Active Directory über zusätzliche Einstellungen verfügen. Dies beinhaltet, ist aber nicht beschränkt auf Kerberos Forest
Microsoft SQL Server- und PostgreSQL-DB-Instances unterstützen unidirektionale und bidirektionale Forest-Trust-Beziehungen. Oracle-DB-Instances unterstützen unidirektionale und bidirektionale externe Vertrauensbeziehungen sowie Forest-Trust-Beziehungen. Weitere Informationen finden Sie unter Zeitpunkt zum Erstellen einer Vertrauensstellung im AWS Directory Service -Administrationshandbuch.
Informationen zur Kerberos-Authentifizierung mit einer bestimmten Engine finden Sie im Folgenden:
-
Arbeiten mit AWS verwaltetem Active Directory mit RDS for SQL Server
-
Die Verwendung von Kerberos Authentifizierung für Amazon RDS for My SQL
-
Konfigurieren der Kerberos-Authentifizierung für Amazon RDS for Oracle
-
Verwenden der Kerberos-Authentifizierung mit Amazon RDS for PostgreSQL
-
Die Verwendung von Kerberos Authentifizierung für Amazon RDS für Db2 .
Anmerkung
Derzeit wird die Kerberos-Authentifizierung für MariaDB DB-Instances nicht unterstützt.
