Utilisation de l'authentification Kerberos pour Aurora My SQL - Amazon Aurora
Présentation de l'authentification Kerberos pour Aurora My SQLLimites

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de l'authentification Kerberos pour Aurora My SQL

Vous pouvez utiliser l'authentification Kerberos pour authentifier les utilisateurs lorsqu'ils se connectent à votre cluster Aurora My SQL DB. Pour ce faire, configurez votre cluster de base de données à utiliser AWS Directory Service for Microsoft Active Directory pour l'authentification Kerberos. AWS Directory Service for Microsoft Active Directory est également appelé AWS Managed Microsoft AD. C'est une fonctionnalité disponible avec AWS Directory Service. Pour en savoir plus, consultez Qu'est-ce que c'est AWS Directory Service ? dans le Guide AWS Directory Service d'administration.

Pour commencer, créez un AWS Managed Microsoft AD répertoire pour stocker les informations d'identification des utilisateurs. Fournissez ensuite le domaine d'Active Directory et d'autres informations à votre cluster Aurora My SQL DB. Lorsque les utilisateurs s'authentifient auprès du cluster Aurora My SQL DB, les demandes d'authentification sont transmises à l' AWS Managed Microsoft AD annuaire.

Vous pouvez gagner du temps et de l'argent en conservant toutes les informations d'identification dans le même annuaire. Cette approche vous permet d'avoir un endroit centralisé de stockage et de gestion des informations d'identification pour plusieurs clusters de bases de données. L'utilisation d'un annuaire peut également améliorer votre profil de sécurité global.

Vous pouvez également accéder aux informations d'identification à partir de votre propre annuaire Microsoft Active Directory sur site. Pour ce faire, vous créez une relation de domaine d'approbation afin que l'annuaire AWS Managed Microsoft AD approuve votre annuaire Microsoft Active Directory sur site. Ainsi, vos utilisateurs peuvent accéder à vos clusters Aurora My SQL DB avec la même expérience d'authentification unique Windows (SSO) que lorsqu'ils accèdent aux charges de travail de votre réseau local.

Une base de données peut utiliser Kerberos, AWS Identity and Access Management (IAM) ou à la fois Kerberos et l'authentification. IAM Cependant, étant donné que Kerberos et IAM l'authentification proposent des méthodes d'authentification différentes, un utilisateur spécifique peut se connecter à une base de données en utilisant uniquement l'une ou l'autre méthode d'authentification, mais pas les deux. Pour plus d'informations sur l'authentification IAM, consultez Authentification de base de données IAM.

Table des matières

Présentation de l'authentification Kerberos pour les clusters Aurora My DB SQL

Pour configurer l'authentification Kerberos pour un cluster Aurora My SQL DB, effectuez les étapes générales suivantes. Ces étapes sont décrites plus en détail ci-dessous.

  1. AWS Managed Microsoft AD À utiliser pour créer un AWS Managed Microsoft AD répertoire. Vous pouvez utiliser le AWS Management Console AWS CLI, le ou le AWS Directory Service pour créer le répertoire. Pour obtenir des instructions détaillées, voir Création de votre AWS Managed Microsoft AD répertoire dans le Guide AWS Directory Service d'administration.

  2. Créez un rôle AWS Identity and Access Management (IAM) qui utilise la IAM politique géréeAmazonRDSDirectoryServiceAccess. Le rôle autorise Amazon Aurora à effectuer des appels vers votre annuaire.

    Pour que le rôle autorise l'accès, le point de terminaison AWS Security Token Service (AWS STS) doit être activé dans le Région AWS AWS compte. AWS STS les points de terminaison sont actifs par défaut dans tous les cas Régions AWS, et vous pouvez les utiliser sans autre action. Pour plus d'informations, voir Activation et désactivation AWS STS dans et dans le guide de l'IAMutilisateur. Région AWS

  3. Créez et configurez des utilisateurs dans l' AWS Managed Microsoft AD annuaire à l'aide des outils Microsoft Active Directory. Pour plus d'informations sur la création d'utilisateurs dans votre Active Directory, voir Gérer les utilisateurs et les groupes dans Microsoft AD AWS géré dans le Guide d'AWS Directory Service administration.

  4. Créez ou modifiez un cluster Aurora My SQL DB. Si vous utilisez le CLI ou RDS API dans la demande de création, spécifiez un identifiant de domaine avec le Domain paramètre. Utilisez l'd-*identifiant généré lors de la création de votre répertoire et le nom du IAM rôle que vous avez créé.

    Si vous modifiez un cluster Aurora My SQL DB existant pour utiliser l'authentification Kerberos, définissez les paramètres de domaine et de IAM rôle pour le cluster de base de données. Localisez le cluster de base de données dans le même répertoire VPC que le répertoire de domaines.

  5. Utilisez les informations d'identification de l'utilisateur RDS principal Amazon pour vous connecter au cluster Aurora My SQL DB. Créez l'utilisateur de base de données dans Aurora My SQL en suivant les instructions deÉtape 6 : créer des SQL utilisateurs Aurora My qui utilisent l'authentification Kerberos.

    Les utilisateurs que vous créez de cette manière peuvent se connecter au cluster Aurora My SQL DB à l'aide de l'authentification Kerberos. Pour de plus amples informations, veuillez consulter Connexion à Aurora MySQL avec l'authentification Kerberos.

Pour utiliser l'authentification Kerberos à l'aide d'un annuaire Microsoft Active Directory sur site ou auto-géré, créez une approbation de forêt. Une approbation de forêt est une relation d'approbation entre deux groupes de domaines. L'approbation peut être unidirectionnelle ou bidirectionnelle. Pour plus d'informations sur la configuration des approbations forestières à l'aide AWS Directory Service de la section Quand créer une relation de confiance dans le Guide d'AWS Directory Service administration.

Limites de l'authentification Kerberos pour Aurora My SQL

Les limites suivantes s'appliquent à l'authentification Kerberos pour Aurora My : SQL

  • L'authentification Kerberos est prise en charge pour Aurora My SQL version 3.03 et versions ultérieures.

    Pour plus d'informations sur Région AWS le support, consultezAuthentification Kerberos avec Aurora MySQL.

  • Pour utiliser l'authentification Kerberos avec Aurora MySQL, votre SQL client ou connecteur My doit utiliser la version 8.0.26 ou supérieure sur les plateformes Unix, 8.0.27 ou supérieure sur Windows. Sinon, le plug-in authentication_kerberos_client côté client n'est pas disponible et vous ne pouvez pas vous authentifier.

  • N' AWS Managed Microsoft AD est pris en charge que sur Aurora MySQL. Toutefois, vous pouvez associer des clusters Aurora My SQL DB à des domaines Microsoft AD gérés partagés appartenant à différents comptes appartenant au même Région AWS.

    Vous pouvez également utiliser votre propre annuaire Active Directory sur site. Pour de plus amples informations, veuillez consulter Étape 2 : (Facultatif) Créer une approbation pour un annuaire Active Directory sur site.

  • Lorsque vous utilisez Kerberos pour authentifier un utilisateur se connectant au SQL cluster Aurora My à partir de Mes SQL clients ou de pilotes du système d'exploitation Windows, par défaut, la majuscule du nom d'utilisateur de la base de données doit correspondre à celle de l'utilisateur dans Active Directory. Par exemple, si l'utilisateur apparaît dans Active Directory en tant qu'Admin, le nom d'utilisateur de base de données doit être Admin.

    Cependant, vous pouvez désormais utiliser la comparaison des noms d'utilisateur sans distinction de casse avec le plug-in authentication_kerberos. Pour de plus amples informations, veuillez consulter Étape 8 : (Facultatif) Configurer la comparaison des noms d'utilisateur sans distinction de casse.

  • Vous devez redémarrer les instances de base de données de lecteur après avoir activé la fonction pour installer le plug-in authentication_kerberos.

  • La réplication vers des instances de base de données qui ne prennent pas en charge le plug-in authentication_kerberos peut entraîner un échec de réplication.

  • Pour que les bases de données globales Aurora utilisent l'authentification Kerberos, vous devez la configurer pour chaque cluster de bases de données de la base de données globale.

  • Le nom de domaine doit comporter moins de 62 caractères.

  • Ne modifiez pas le port du cluster de bases de données après avoir activé l'authentification Kerberos. Si vous modifiez le port, l'authentification Kerberos ne fonctionnera plus.