View a markdown version of this page

Utilisation de l'authentification Kerberos pour Aurora MySQL - Amazon Aurora
Présentation de l'authentification Kerberos pour Aurora MySQLLimitations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de l'authentification Kerberos pour Aurora MySQL

Vous pouvez utiliser l'authentification Kerberos pour authentifier les utilisateurs lorsqu'ils se connectent à votre cluster de bases de données Aurora MySQL. Pour ce faire, configurez votre cluster de base de données à utiliser AWS Directory Service for Microsoft Active Directory pour l'authentification Kerberos. AWS Directory Service for Microsoft Active Directory est également appelé AWS Managed Microsoft AD. Il s'agit d'une fonctionnalité disponible avec Directory Service. Pour en savoir plus, consultez Qu'est-ce que c'est Directory Service ? dans le Guide AWS Directory Service d'administration.

Pour commencer, créez un AWS Managed Microsoft AD répertoire pour stocker les informations d'identification des utilisateurs. Fournissez ensuite à votre cluster de bases de données Aurora MySQL le domaine de l'annuaire Active Directory ainsi que d'autres informations. Lorsque les utilisateurs s'authentifient auprès de l'instance de cluster de bases de données Aurora MySQL, les demandes d'authentification sont transférées vers l'annuaire AWS Managed Microsoft AD .

Vous pouvez gagner du temps et de l’argent en conservant toutes les informations d’identification dans le même annuaire. Cette approche vous permet d'avoir un endroit centralisé de stockage et de gestion des informations d'identification pour plusieurs clusters de bases de données. L’utilisation d’un annuaire peut également améliorer votre profil de sécurité global.

Vous pouvez également accéder aux informations d’identification à partir de votre propre annuaire Microsoft Active Directory sur site. Pour ce faire, vous créez une relation de domaine d'approbation afin que l'annuaire AWS Managed Microsoft AD approuve votre annuaire Microsoft Active Directory sur site. De cette façon, vos utilisateurs peuvent accéder à vos clusters de bases de données Aurora MySQL avec la même expérience d'authentification unique (SSO) Windows que lorsqu'ils accèdent aux charges de travail de votre réseau sur site.

Une base de données peut utiliser les authentifications Kerberos Gestion des identités et des accès AWS (IAM) ou à la fois Kerberos et IAM. Toutefois, comme les authentifications Kerberos et IAM fournissent des méthodes d'authentification différentes, un utilisateur spécifique peut se connecter à une base de données en utilisant uniquement l'une ou l'autre méthode d'authentification, mais pas les deux. Pour plus d’informations sur l’authentification IAM, consultez Authentification de base de données IAM.

Table des matières

Présentation de l'authentification Kerberos pour les clusters de bases de données Aurora MySQL

Pour configurer l'authentification Kerberos pour un cluster de bases de données Aurora MySQL, effectuez les étapes générales suivantes. Ces étapes sont décrites plus en détail ci-dessous.

  1. AWS Managed Microsoft AD À utiliser pour créer un AWS Managed Microsoft AD répertoire. Vous pouvez utiliser le AWS Management Console AWS CLI, le ou le Directory Service pour créer le répertoire. Pour obtenir des instructions détaillées, voir Création de votre AWS Managed Microsoft AD répertoire dans le Guide AWS Directory Service d'administration.

  2. Créez un rôle Gestion des identités et des accès AWS (IAM) qui utilise la politique IAM gérée. AmazonRDSDirectoryServiceAccess Le rôle autorise Amazon Aurora à effectuer des appels vers votre annuaire.

    Pour que le rôle autorise l'accès, le point de terminaison AWS Security Token Service (AWS STS) doit être activé dans le Région AWS AWS compte. AWS STS les points de terminaison sont actifs par défaut dans tous les cas Régions AWS, et vous pouvez les utiliser sans autre action. Pour plus d'informations, consultez la section Activation et désactivation AWS STS dans et Région AWS dans le guide de l'utilisateur IAM.

  3. Créez et configurez des utilisateurs dans l' AWS Managed Microsoft AD annuaire à l'aide des outils Microsoft Active Directory. Pour plus d'informations sur la création d'utilisateurs dans votre Active Directory, voir Gérer les utilisateurs et les groupes dans Microsoft AD AWS géré dans le Guide d'AWS Directory Service administration.

  4. Créez ou modifiez un cluster de bases de données Aurora MySQL. Si vous utilisez CLI ou l’API RDS dans la demande de création, spécifiez un identifiant de domaine avec le paramètre Domain. Utilisez l'identificateur d-* généré lors de la création de votre annuaire et le nom du rôle IAM que vous avez créé.

    Si vous modifiez un cluster de bases de données Aurora MySQL existante pour utiliser l'authentification Kerberos, définissez les paramètres de domaine et de rôle IAM pour le cluster de bases de données. Recherchez le cluster de bases de données dans le même VPC que l'annuaire du domaine.

  5. Utilisez les informations d'identification de l'utilisateur principal Amazon RDS pour vous connecter au cluster de bases de données Aurora MySQL. Créez l'utilisateur de base de données dans Aurora MySQL en suivant les instructions données dansÉtape 6 : Créer des utilisateurs Aurora MySQL utilisant l’authentification Kerberos.

    Les utilisateurs que vous créez de cette façon peuvent se connecter au cluster de bases de données Aurora MySQL en utilisant l'authentification Kerberos. Pour de plus amples informations, veuillez consulter Connexion à Aurora MySQL avec l'authentification Kerberos.

Pour utiliser l'authentification Kerberos à l'aide d'un annuaire Microsoft Active Directory sur site ou auto-géré, créez une approbation de forêt. Une approbation de forêt est une relation d'approbation entre deux groupes de domaines. L'approbation peut être unidirectionnelle ou bidirectionnelle. Pour plus d'informations sur la configuration des approbations forestières à l'aide Directory Service de la section Quand créer une relation de confiance dans le Guide d'AWS Directory Service administration.

Limites de l'authentification Kerberos pour Aurora MySQL

Les limitates suivantes s'appliquent à l'authentification Kerberos pour Aurora MySQL :

  • L'authentification Kerberos est prise en charge pour Aurora MySQL versions 3.03 et ultérieures.

    Pour plus d'informations sur Région AWS le support, consultezAuthentification Kerberos avec Aurora MySQL.

  • Pour utiliser l'authentification Kerberos avec Aurora MySQL, votre client ou connecteur MySQL doit utiliser la version 8.0.26 ou ultérieure sur les plateformes Unix, 8.0.27 ou ultérieure sur Windows. Sinon, le plug-in authentication_kerberos_client côté client n'est pas disponible et vous ne pouvez pas vous authentifier.

  • AWS Managed Microsoft AD Uniquement pris en charge sur Aurora MySQL. Toutefois, vous pouvez joindre des clusters de bases de données Aurora MySQL à des domaines Microsoft AD gérés partagés qui appartiennent à différents comptes dans la même Région AWS.

    Vous pouvez également utiliser votre propre annuaire Active Directory sur site. Pour de plus amples informations, veuillez consulter Étape 2 : (Facultatif) Créer une approbation pour un annuaire Active Directory sur site.

  • Lorsque vous utilisez Kerberos pour authentifier un utilisateur qui se connecte au cluster Aurora MySQL à partir de clients MySQL ou de pilotes du système d'exploitation Windows, la casse des caractères du nom d'utilisateur de base de données doit correspondre à celle de l'utilisateur dans Active Directory. Par exemple, si l'utilisateur apparaît dans Active Directory en tant qu'Admin, le nom d'utilisateur de base de données doit être Admin.

    Cependant, vous pouvez désormais utiliser la comparaison des noms d'utilisateur sans distinction de casse avec le plug-in authentication_kerberos. Pour de plus amples informations, veuillez consulter Étape 8 : (Facultatif) Configurer la comparaison des noms d’utilisateur sans distinction de casse.

  • Vous devez redémarrer les instances de base de données de lecteur après avoir activé la fonction pour installer le plug-in authentication_kerberos.

  • La réplication vers des instances de base de données qui ne prennent pas en charge le plug-in authentication_kerberos peut entraîner un échec de réplication.

  • Pour que les bases de données globales Aurora utilisent l'authentification Kerberos, vous devez la configurer pour chaque cluster de bases de données de la base de données globale.

  • Le nom de domaine doit comporter moins de 62 caractères.

  • Ne modifiez pas le port du cluster de bases de données après avoir activé l'authentification Kerberos. Si vous modifiez le port, l'authentification Kerberos ne fonctionnera plus.