KerberosAuthentifizierung für Amazon RDS for MySQL verwenden - Amazon Relational Database Service
Verfügbarkeit von Regionen und VersionenÜbersicht über das Einrichten der Kerberos-Authentifizierung für MySQL-DB-InstancesEinrichten der Kerberos-Authentifizierung für MySQL-DB-InstancesVerwalten einer DB-Instance in einer DomäneVerbindung zu MySQL mit Kerberos-AuthentifizierungWiederherstellen einer MySQL-DB-Instance und Hinzufügen zu einer DomäneMySQL-Einschränkungen bei der Kerberos-Authentifizierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

KerberosAuthentifizierung für Amazon RDS for MySQL verwenden

Sie können die Kerberos-Authentifizierung verwenden, um Benutzer zu authentifizieren, wenn sie sich mit Ihrer MySQL-DB-Instance verbinden. Die DB-Instance arbeitet mit AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD), um die Kerberos-Authentifizierung zu aktivieren. Wenn Benutzer sich mit einer MySQL-DB-Instance authentifizieren, die mit der vertrauenswürdigen Domäne verbunden ist, werden Authentifizierungsanfragen weitergeleitet. Weitergeleitete Anfragen werden in das Domänenverzeichnis geleitet, mit dem Sie sie erstellen. AWS Directory Service

Wenn Sie alle Ihre Anmeldeinformationen im selben Verzeichnis aufbewahren, können Sie Zeit und Mühe sparen. Mit diesem Ansatz haben Sie einen zentralen Ort für die Speicherung und Verwaltung von Anmeldedaten für mehrere DB-Instances. Die Verwendung eines Verzeichnisses kann auch Ihr allgemeines Sicherheitsprofil verbessern.

Verfügbarkeit von Regionen und Versionen

Die Verfügbarkeit von Funktionen und der Support variieren zwischen bestimmten Versionen der einzelnen Datenbank-Engines und in allen AWS-Regionen. Weitere Informationen zur Versions- und Regionsverfügbarkeit von Amazon RDS mit Kerberos-Authentifizierung finden Sie unter Unterstützte Regionen und DB-Engines für die Kerberos-Authentifizierung in Amazon RDS.

Übersicht über das Einrichten der Kerberos-Authentifizierung für MySQL-DB-Instances

Um die Kerberos-Authentifizierung für eine MySQL-DB-Instance einzurichten, führen Sie die folgenden allgemeinen Schritte aus, die später näher beschrieben werden:

  1. Wird verwendet AWS Managed Microsoft AD , um ein AWS Managed Microsoft AD Verzeichnis zu erstellen. Sie können das AWS Management Console, das oder das verwenden AWS CLI, AWS Directory Service um das Verzeichnis zu erstellen. Einzelheiten dazu finden Sie unter AWS Managed Microsoft AD Verzeichnis erstellen im AWS Directory Service Administratorhandbuch.

  2. Erstellen Sie eine AWS Identity and Access Management (IAM-) Rolle, die die verwaltete IAM-Richtlinie verwendet. AmazonRDSDirectoryServiceAccess Die Rolle erlaubt, dass Amazon RDS Aufrufe an Ihr Verzeichnis schickt.

    Damit die Rolle Zugriff gewährt, muss der Endpunkt AWS Security Token Service (AWS STS) im AWS-Region für Ihr AWS Konto aktiviert sein. AWS STS Endpunkte sind standardmäßig in allen aktiv AWS-Regionen, und Sie können sie ohne weitere Aktionen verwenden. Weitere Informationen finden Sie unter Aktivierung und Deaktivierung AWS STSAWS-Region im IAM-Benutzerhandbuch.

  3. Erstellen und konfigurieren Sie Benutzer im AWS Managed Microsoft AD Verzeichnis mithilfe der Microsoft Active Directory-Tools. Weitere Informationen zum Erstellen von Benutzern in Ihrem Active Directory finden Sie unter Verwalten von Benutzern und Gruppen in AWS verwaltetem Microsoft AD im AWS Directory Service Administratorhandbuch.

  4. Erstellen oder ändern Sie eine MySQL DB-Instance. Wenn Sie entweder die CLI oder die RDS-API für die Erstellungsanforderung verwenden, geben Sie eine Domänen-ID mit dem Parameter Domain an. Verwenden Sie die d-*-ID, die bei der Erstellung Ihres Verzeichnisses generiert wurde, und den Namen der von Ihnen erstellten Rolle.

    Wenn Sie eine vorhandene MySQL-DB-Instance so ändern, dass sie die Kerberos-Authentifizierung verwendet, legen Sie die Parameter für die Domäne und die IAM-Rolle für die DB-Instance fest. Suchen Sie die DB-Instance in derselben VPC wie das Domänenverzeichnis.

  5. Verwenden Sie die Amazon RDS-Hauptbenutzer-Anmeldeinformationen, um sich mit der MySQL-DB-Instance zu verbinden. Erstellen Sie den Benutzer unter Verwendung der CREATE USER-Klausel IDENTIFIED WITH 'auth_pam' in MySQL. Benutzer, die Sie auf diese Weise anlegen, können sich mit der Kerberos-Authentifizierung an der MySQL-DB-Instance anmelden.

Einrichten der Kerberos-Authentifizierung für MySQL-DB-Instances

Sie verwenden AWS Managed Microsoft AD , um die Kerberos-Authentifizierung für eine MySQL-DB-Instance einzurichten. Um die Kerberos-Authentifizierung einzurichten, führen Sie die folgenden Schritte durch.

Schritt 1: Erstellen Sie ein Verzeichnis mit AWS Managed Microsoft AD

AWS Directory Service erstellt ein vollständig verwaltetes Active Directory in der AWS Cloud. Wenn Sie ein AWS Managed Microsoft AD Verzeichnis erstellen, AWS Directory Service erstellt in Ihrem Namen zwei Domänencontroller und DNS-Server (Domain Name System). Die Verzeichnisserver werden in verschiedenen Subnetzen in einer VPC erstellt. Diese Redundanz trägt dazu bei, dass Ihr Verzeichnis auch im Fehlerfall erreichbar bleibt.

Wenn Sie ein AWS Managed Microsoft AD Verzeichnis erstellen, AWS Directory Service führt er in Ihrem Namen die folgenden Aufgaben aus:

  • Einrichten eines Active Directory innerhalb der VPC.

  • Erstellt ein Verzeichnisadministratorkonto mit dem Benutzernamen Admin und dem angegebenen Passwort. Mit diesem Konto verwalten Sie das Verzeichnis.

    Anmerkung

    Achten Sie darauf, dieses Passwort zu speichern. AWS Directory Service speichert es nicht. Sie können es zurücksetzen, aber Sie können es nicht abrufen.

  • Erstellt eine Sicherheitsgruppe für die Verzeichniscontroller.

Wenn Sie eine starten AWS Managed Microsoft AD, AWS erstellt eine Organisationseinheit (OU), die alle Objekte Ihres Verzeichnisses enthält. Diese OU hat den NetBIOS-Namen, den Sie bei der Erstellung Ihres Verzeichnisses angegeben haben. Sie befindet sich im Domänenstamm. Der Domänenstamm gehört und wird von diesem verwaltet AWS.

Das Administratorkonto, das mit Ihrem AWS Managed Microsoft AD Verzeichnis erstellt wurde, verfügt über Berechtigungen für die gängigsten Verwaltungsaktivitäten Ihrer Organisationseinheit:

  • Erstellen, Aktualisieren oder Löschen von Benutzern

  • Hinzufügen von Ressourcen zu Ihrer Domäne, etwa Datei- oder Druckserver, und anschließendes Gewähren der zugehörigen Ressourcenberechtigungen für Benutzer in der OU

  • Zusätzliche OUs Container erstellen

  • Delegieren von Befugnissen

  • Wiederherstellen von gelöschten Objekten aus dem Active Directory-Papierkorb

  • Führen Sie AD- und PowerShell DNS-Windows-Module im Active Directory-Webdienst aus

Das Admin-Konto hat außerdem die Rechte zur Durchführung der folgenden domänenweiten Aktivitäten:

  • Verwalten von DNS-Konfigurationen (Hinzufügen, Entfernen oder Aktualisieren von Datensätzen, Zonen und Weiterleitungen)

  • Aufrufen von DNS-Ereignisprotokollen

  • Anzeigen von Sicherheitsereignisprotokollen

Um ein Verzeichnis zu erstellen mit AWS Managed Microsoft AD

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die AWS Directory Service Konsole unter https://console.aws.amazon.com/directoryservicev2/.

  2. Wählen Sie im Navigationsbereich Directories (Verzeichnisse) aus. Wählen Sie denn Set up Directory (Verzeichnis einrichten) aus.

  3. Wählen Sie AWS Managed Microsoft AD. AWS Managed Microsoft AD ist die einzige Option, die Sie derzeit mit Amazon RDS verwenden können.

  4. Geben Sie die folgenden Informationen ein:

    DNS-Name des Verzeichnisses

    Den vollständig qualifizierten Namen für das Verzeichnis, z. B. corp.example.com.

    NetBIOS-Name des Verzeichnisses

    Die kurzen Namen für das Verzeichnis, z. B. CORP.

    Verzeichnisbeschreibung

    (Optional) Eine Beschreibung für das Verzeichnis.

    Administratorpasswort

    Das Passwort für den Verzeichnisadministrator. Während des Verzeichniserstellungsprozesses wird ein Administratorkonto mit dem Benutzernamen Admin und diesem Passwort angelegt.

    Das Passwort für den Verzeichnisadministrator das nicht das Wort "admin" enthalten. Beachten Sie beim Passwort die Groß- und Kleinschreibung und es muss 8 bis 64 Zeichen lang sein. Zudem muss es mindestens ein Zeichen aus dreien der vier folgenden Kategorien enthalten:

    • Kleinbuchstaben (a–z)

    • Großbuchstaben (A–Z)

    • Zahlen (0–9)

    • Nicht-alphanumerische Zeichen (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Passwort bestätigen

    Das Administratorpasswort, das erneut eingegeben wurde.

  5. Wählen Sie Weiter aus.

  6. Geben Sie die folgenden Informationen in den Abschnitt Networking ein. Wählen Sie dann Next (Weiter) aus:

    VPC

    Die VPC für das Verzeichnis. Erstellen Sie die MySQL-DB-Instance in derselben VPC.

    Subnetze

    Subnetze für die Verzeichnisserver. Die beiden Subnetze müssen zu verschiedenen Availability-Zonen gehören.

  7. Prüfen Sie die Verzeichnisinformationen und nehmen Sie ggf. Änderungen vor. Wenn die Informationen richtig sind, wählen Sie Create directory (Verzeichnis erstellen).

    Das Fenster „Überprüfen und erstellen“ während der Verzeichniserstellung in der AWS Directory Service Konsole.

Es dauert einige Minuten, bis das Verzeichnis erstellt wurde. Wenn es erfolgreich erstellt wurde, ändert sich der Wert Status in Active (Aktiv).

Um Informationen über Ihr Verzeichnis anzuzeigen, wählen Sie den Verzeichnisnamen in der Verzeichnisliste aus. Beachten Sie den Wert Directory ID (Verzeichnis-ID). Sie benötigen diesen Wert, wenn Sie Ihre MySQL-DB-Instance erstellen oder ändern.

Der Abschnitt mit den Verzeichnisdetails mit der Verzeichnis-ID in der AWS Directory Service Konsole.

Schritt 2: Erstellen der IAM-Rolle für die Verwendung durch Amazon RDS

Damit Amazon RDS AWS Directory Service für Sie anrufen kann, ist eine IAM-Rolle erforderlich, die die verwaltete IAM-Richtlinie AmazonRDSDirectoryServiceAccess verwendet. Diese Rolle ermöglicht es Amazon RDS, Aufrufe von AWS Directory Service durchzuführen.

Wenn eine DB-Instance mit dem erstellt wird AWS Management Console und der Konsolenbenutzer über die iam:CreateRole entsprechende Berechtigung verfügt, erstellt die Konsole diese Rolle automatisch. In diesem Fall lautet der Rollenname rds-directoryservice-kerberos-access-role. Andernfalls müssen Sie die IAM-Rolle manuell erstellen. Wenn Sie diese IAM-Rolle erstellenDirectory Service, wählen Sie die AWS verwaltete Richtlinie aus und hängen Sie sie AmazonRDSDirectoryServiceAccess an.

Weitere Informationen zum Erstellen von IAM-Rollen für einen Dienst finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS Dienst im IAM-Benutzerhandbuch.

Anmerkung

Die für die Windows-Authentifizierung für RDS for SQL Server verwendete IAM-Rolle kann nicht für RDS for MySQL verwendet werden.

Optional können Sie Richtlinien mit den erforderlichen Berechtigungen erstellen, anstatt die verwaltete IAM-Richtlinie zu verwende AmazonRDSDirectoryServiceAccess. In diesem Fall muss die IAM-Rolle die folgende IAM-Vertrauensrichtlinie haben.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "directoryservice.rds.amazonaws.com",
          "rds.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Die Rolle muss auch über die folgende IAM-Rollenrichtlinie verfügen.

JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "ds:UnauthorizeApplication",
        "ds:GetAuthorizedApplicationDetails"
      ],
    "Effect": "Allow",
    "Resource": "*"
    }
  ]
}

Schritt 3: Anlegen und konfigurieren von Benutzern

Sie können Benutzer mit dem Tool "Active Directory-Benutzer und -Computer" erstellen. Dieses Tool ist Teil der Tools Active Directory Domain Services und Active Directory Lightweight Directory Services. „Benutzer“ sind Einzelpersonen oder Entitäten, die Zugriff auf Ihr Verzeichnis haben.

Um Benutzer in einem AWS Directory Service Verzeichnis zu erstellen, müssen Sie mit einer EC2 Amazon-Instance verbunden sein, die auf Microsoft Windows basiert. Diese Instance muss Mitglied des AWS Directory Service Verzeichnisses sein und als Benutzer angemeldet sein, der über die Rechte zum Erstellen von Benutzern verfügt. Weitere Informationen finden Sie unter Verwalten von Benutzern und Gruppen AWS Managed Microsoft AD im AWS Directory-Service-Administrationshandbuch.

Schritt 4: Erstellen oder Ändern einer MySQL-DB-Instance

Erstellen oder ändern Sie eine MySQL-DB-Instance zur Verwendung mit Ihrem Verzeichnis. Sie können die Konsole, CLI oder RDS-API verwenden, um eine DB-Instance einem Verzeichnis zuzuordnen. Sie können dafür eine der folgenden Möglichkeiten auswählen:

Die Kerberos-Authentifizierung wird nur für MySQL-DB-Instances in einer VPC unterstützt. Die DB-Instance kann sich in derselben VPC wie das Verzeichnis oder in einer anderen VPC befinden. Die DB-Instance muss eine Sicherheitsgruppe verwenden, die ausgehenden Datenverkehr innerhalb der VPC des Verzeichnisses ermöglicht, damit die DB-Instance mit dem Verzeichnis kommunizieren kann.

Wenn Sie die Konsole verwenden, ändern oder wiederherstellen, um eine DB-Instance zu erstellen, wählen Sie im Abschnitt Datenbankauthentifizierung die Option Passwort- und Kerberos-Authentifizierung aus. Wählen Sie Verzeichnis durchsuchen und dann das Verzeichnis aus, oder klicken Sie auf Neues Verzeichnis erstellen.

Der Abschnitt Datenbankauthentifizierung mit Passwort und Kerberos-Authentifizierung, die in der Amazon RDS-Konsole ausgewählt wurde.

Wenn Sie die AWS CLI oder RDS-API verwenden, ordnen Sie eine DB-Instance einem Verzeichnis zu. Die folgenden Parameter sind erforderlich, damit die DB-Instance das von Ihnen erstellte Domain-Verzeichnis verwendet:

  • Für den --domain-Parameter verwenden Sie den Domänenbezeichner („d-*“-Bezeichner), der beim Erstellen des Verzeichnisses generiert wurde.

  • Verwenden Sie für den --domain-iam-role-name-Parameter die von Ihnen erstellte Rolle, die die verwaltete IAM-Richtlinie AmazonRDSDirectoryServiceAccess verwendet.

Beispielsweise ändert der folgende CLI-Befehl eine DB-Instance zur Verwendung eines Verzeichnisses.

Für LinuxmacOS, oderUnix:

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --domain d-ID \
    --domain-iam-role-name role-name

Windows:

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --domain d-ID ^
    --domain-iam-role-name role-name
Wichtig

Wenn Sie eine DB-Instance zur Aktivierung der Kerberos-Authentifizierung ändern, starten Sie die DB-Instance neu, nachdem Sie die Änderung vorgenommen haben.

Schritt 5: Erstellen von MySQL-Anmeldeinformationen für die Kerberos-Authentifizierung

Verwenden Sie die Amazon RDS-Hauptbenutzer-Anmeldeinformationen, um sich mit der MySQL-DB-Instance wie mit jeder anderen DB-Instance zu verbinden. Die DB-Instance ist mit der AWS Managed Microsoft AD Domain verbunden. Auf diese Weise können Sie MySQL-Anmeldenamen und -Benutzer aus den Active Directory-Benutzern Ihrer Domäne bereitstellen. Die Datenbankberechtigungen werden durch Standard-MySQL-Berechtigungen verwaltet, die diesen Anmeldeinformationen gewährt und entzogen werden.

Sie können einem Active Directory-Benutzer erlauben, sich bei MySQL zu authentifizieren. Dazu verwenden Sie zunächst die Amazon RDS-Hauptbenutzer-Anmeldeinformationen, um sich mit der MySQL-DB-Instance wie mit jeder anderen DB-Instance zu verbinden. Nachdem Sie angemeldet sind, erstellen Sie einen extern authentifizierten Benutzer mit PAM (Pluggable Authentication Modules) in MySQL, indem Sie den folgenden Befehl ausführen. Ersetzen Sie testuser durch den Benutzernamen.

CREATE USER 'testuser'@'%' IDENTIFIED WITH 'auth_pam';

Benutzer (sowohl Menschen als auch Anwendungen) aus Ihrer Domäne können sich nun von einem mit der Domäne verbundenen Client-Rechner aus mit Hilfe der Kerberos-Authentifizierung mit der DB-Instance verbinden.

Wichtig

Wir empfehlen dringend, dass Clients SSL/TLS Verbindungen verwenden, wenn sie die PAM-Authentifizierung verwenden. Wenn sie keine SSL/TLS Verbindungen verwenden, wird das Passwort in einigen Fällen möglicherweise als Klartext gesendet. Um eine SSL/TLS verschlüsselte Verbindung für Ihren AD-Benutzer zu verlangen, führen Sie den folgenden Befehl aus und testuser ersetzen Sie ihn durch den Benutzernamen:

ALTER USER 'testuser'@'%' REQUIRE SSL;

Weitere Informationen finden Sie unter SSL/TLSUnterstützung für My SQL DB-Instances auf Amazon RDS.

Verwalten einer DB-Instance in einer Domäne

Sie können die CLI oder die RDS-API verwenden, um Ihre DB-Instance und ihre Beziehung zu Ihrem verwalteten Active Directory zu verwalten. Sie können z. B. ein Active Directory für die Kerberos-Authentifizierung zuordnen und ein Active Directory trennen, um die Kerberos-Authentifizierung zu deaktivieren. Sie können auch eine DB-Instance, die extern von einem Active Directory authentifiziert werden soll, in ein anderes Active Directory verschieben.

Sie können z. B. mithilfe der Amazon RDS-API Folgendes tun:

  • Um erneut zu versuchen, die Kerberos-Authentifizierung für eine fehlgeschlagene Mitgliedschaft zu aktivieren, verwenden Sie die ModifyDBInstance API-Operation und geben Sie die Verzeichnis-ID der aktuellen Mitgliedschaft an.

  • Um den IAM-Rollennamen für die Mitgliedschaft zu aktualisieren, verwenden Sie die ModifyDBInstance-API-Operation und geben Sie die Verzeichnis-ID der aktuellen Mitgliedschaft und die neue IAM-Rolle an.

  • Um die Kerberos-Authentifizierung in einer DB-Instance zu deaktivieren, verwenden Sie die ModifyDBInstance API-Operation. Geben Sie none als Domänenparameter an.

  • Um eine DB-Instance von einer Domäne in eine andere zu verschieben, verwenden Sie die ModifyDBInstance API-Operation. Geben Sie die Domänen-ID der neuen Domäne als Domänenparameter an.

  • Um die Mitgliedschaft für jede DB-Instance aufzulisten, verwenden Sie die DescribeDBInstances API-Operation.

Grundlegendes zur Domänenmitgliedschaft

Nachdem Sie Ihre DB-Instance erstellt oder geändert haben, wird sie Mitglied der Domäne. Sie können den Status der Domänenmitgliedschaft für die DB-Instance anzeigen, indem Sie den describe-db-instancesCLI-Befehl ausführen. Der Status der DB-Instance kann einer der folgenden sein:

  • kerberos-enabled – Für die DB-Instance ist die Kerberos-Authentifizierung aktiviert.

  • enabling-kerberos— AWS ist dabei, die Kerberos-Authentifizierung für diese DB-Instance zu aktivieren.

  • pending-enable-kerberos – Die Aktivierung der Kerberos-Authentifizierung in dieser DB-Instance steht aus.

  • pending-maintenance-enable-kerberos— AWS wird versuchen, die Kerberos-Authentifizierung auf der DB-Instance während des nächsten geplanten Wartungsfensters zu aktivieren.

  • pending-disable-kerberos – Die Deaktivierung der Kerberos-Authentifizierung in dieser DB-Instance steht aus.

  • pending-maintenance-disable-kerberos— AWS wird versuchen, die Kerberos-Authentifizierung auf der DB-Instance während des nächsten geplanten Wartungsfensters zu deaktivieren.

  • enable-kerberos-failed – Ein Konfigurationsproblem hat AWS daran gehindert, die Kerberos-Authentifizierung auf der DB-Instance zu aktivieren. Überprüfen und korrigieren Sie Ihre Konfiguration, bevor Sie den Befehl zu Änderung der DB-Instance erneut ausführen.

  • disabling-kerberos— AWS ist dabei, die Kerberos-Authentifizierung auf dieser DB-Instance zu deaktivieren.

Eine Anfrage zur Aktivierung der Kerberos-Authentifizierung kann wegen eines Netzwerkverbindungsproblems oder einer falschen IAM-Rolle fehlschlagen. Angenommen, Sie erstellen eine DB-Instance oder ändern eine vorhandene DB-Instance und der Versuch, die Kerberos-Authentifizierung zu aktivieren, schlägt fehl. Wenn dies geschieht, führen Sie den Ändern-Befehl erneut aus oder ändern Sie die neu erstellte DB-Instance, um der Domäne beizutreten.

Verbindung zu MySQL mit Kerberos-Authentifizierung

Um eine Verbindung zu MySQL mit Kerberos-Authentifizierung herzustellen, müssen Sie sich mit dem Kerberos-Authentifizierungstyp anmelden.

Um einen Datenbankbenutzer zu erstellen, zu dem Sie eine Verbindung mit der Kerberos-Authentifizierung herstellen können, verwenden Sie eine IDENTIFIED WITH-Klausel in der CREATE USER-Anweisung. Detaillierte Anweisungen finden Sie unter Schritt 5: Erstellen von MySQL-Anmeldeinformationen für die Kerberos-Authentifizierung.

Um Fehler zu vermeiden, sollten Sie den MariaDB-mysql-Client verwenden. Sie können die MariaDB-Software unter https://downloads.mariadb.org/ herunterladen.

Stellen Sie über die Eingabeaufforderung eine Verbindung zu einem der Endpunkte her, die mit Ihrer MySQL-DB-Instance verbunden sind. Befolgen Sie die allgemeinen Verfahren in Verbindung zu Ihrer MySQL-DB-Instance herstellen. Wenn Sie zur Eingabe des Passworts aufgefordert werden, geben Sie es mit diesem Benutzernamen verknüpfte Kerberos-Passwort ein.

Wiederherstellen einer MySQL-DB-Instance und Hinzufügen zu einer Domäne

Sie können einen DB-Snapshot point-in-time wiederherstellen oder eine Wiederherstellung für eine MySQL-DB-Instance abschließen und sie dann einer Domain hinzufügen. Nachdem die DB-Instance wiederhergestellt wurde, modifizieren Sie die DB-Instance mit dem in Schritt 4: Erstellen oder Ändern einer MySQL-DB-Instance erklärten Prozess, um die DB-Instance zu einer Domäne hinzuzufügen.

MySQL-Einschränkungen bei der Kerberos-Authentifizierung

Die folgenden Einschränkungen gelten für die Kerberos-Authentifizierung für MySQL:

  • Es AWS Managed Microsoft AD wird nur eine Verbindung unterstützt. Sie können jedoch DB-Instances von RDS for MySQL zu gemeinsam genutzten verwalteten Microsoft-AD-Domänen zusammenführen, die verschiedene Konten in derselben AWS-Region gehören.

  • Sie müssen die DB-Instance neu starten, nachdem Sie die Funktion aktiviert haben.

  • Die Länge des Domänennamens darf nicht länger als 61 Zeichen sein.

  • Sie können nicht gleichzeitig die Kerberos-Authentifizierung und die IAM-Authentifizierung aktivieren. Wählen Sie die eine oder die andere Authentifizierungsmethode für Ihre MySQL-DB-Instance aus.

  • Ändern Sie den DB-Instance-Port nicht, nachdem Sie die Funktion aktiviert haben.

  • Verwenden Sie keine Kerberos-Authentifizierung mit Lesereplikaten.

  • Wenn Sie das automatische Minor-Versions-Upgrade für eine MySQL DB-Instance aktiviert haben, die die Kerberos-Authentifizierung verwendet, müssen Sie die Kerberos-Authentifizierung deaktivieren und nach einem automatischen Upgrade wieder einschalten. Weitere Informationen zu kleineren automatischen Versionsaktualisierungen finden Sie unter Automatische Upgrades für kleinere Versionen für RDS für My SQL.

  • Um eine DB-Instance bei aktivierter Funktion zu löschen, deaktivieren Sie zuerst die Funktion. Führen Sie dazu den modify-db-instance CLI-Befehl für die DB-Instance aus und geben Sie none den --domain Parameter an.

    Wenn Sie die CLI oder die RDS-API verwenden, um eine DB-Instance bei aktivierter Funktion zu löschen, müssen Sie mit einer Verzögerung rechnen.

  • RDS for MySQL unterstützt keine Kerberos-Authentifizierung in einer Gesamtstruktur zwischen Ihrem lokalen oder selbst gehosteten AD und dem. AWS Managed Microsoft AD