Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de l'authentification Kerberos avec Aurora PostgreSQL
Vous pouvez utiliser Kerberos pour authentifier les utilisateurs lorsqu'ils se connectent à votre cluster de bases de données qui exécute PostgreSQL. Pour ce faire, configurez votre de cluster de base de données à utiliser AWS Directory Service for Microsoft Active Directory pour l'authentification Kerberos. AWS Directory Service for Microsoft Active Directory est également appelé AWS Managed Microsoft AD. C'est une fonctionnalité disponible avec AWS Directory Service. Pour en savoir plus, consultez Qu'est-ce que c'est AWS Directory Service ? dans le Guide AWS Directory Service d'administration.
Pour commencer, créez un AWS Managed Microsoft AD répertoire pour stocker les informations d'identification des utilisateurs. Vous fournissez ensuite à votre cluster de bases de données PostgreSQL le domaine d'Active Directory ainsi que d'autres informations. Lorsque les utilisateurs s'authentifient auprès de l' de cluster de bases de données PostgreSQL, les demandes d'authentification sont transférées vers l'annuaire AWS Managed Microsoft AD .
Vous pouvez gagner du temps et de l'argent en conservant toutes les informations d'identification dans le même annuaire. Vous avez un endroit centralisé de stockage et de gestion des informations d'identification pour plusieurs clusters de base de données. L'utilisation d'un annuaire peut également améliorer votre profil de sécurité global.
Vous pouvez également accéder aux informations d'identification à partir de votre propre annuaire Microsoft Active Directory sur site. Pour ce faire, vous créez une relation de domaine d'approbation afin que l'annuaire AWS Managed Microsoft AD approuve votre annuaire Microsoft Active Directory sur site. De cette façon, vos utilisateurs peuvent accéder à vos clusters PostgreSQL avec la même expérience d'authentification unique (SSO) Windows que lorsqu'ils accèdent aux charges de travail de votre réseau sur site.
Une base de données peut utiliser les authentifications Kerberos AWS Identity and Access Management (IAM) ou à la fois Kerberos et IAM. Toutefois, comme les authentifications Kerberos et IAM fournissent des méthodes d'authentification différentes, un utilisateur de base de données spécifique peut se connecter à une base de données en utilisant uniquement l'une ou l'autre méthode d'authentification, mais pas les deux. Pour plus d'informations sur l'authentification IAM, veuillez consulter Authentification de base de données IAM.
Rubriques
Disponibilité des régions et des versions
La disponibilité et la prise en charge des fonctionnalités varient selon les versions spécifiques de chaque moteur de base de données, et selon les Régions AWS. Pour plus d'informations sur la disponibilité des versions et des régions d'Aurora PostgreSQL avec l'authentification Kerberos, consultez Authentification Kerberos avec Aurora PostgreSQL.
Présentation de l'authentification Kerberos pour les clusters de base de données PostgreSQL
Pour configurer l'authentification Kerberos pour un cluster de base de données PostgreSQL, exécutez les étapes suivantes, décrites plus en détails par la suite :
-
AWS Managed Microsoft AD À utiliser pour créer un AWS Managed Microsoft AD répertoire. Vous pouvez utiliser le AWS Management Console AWS CLI, le ou l' AWS Directory Service API pour créer le répertoire. Veillez à ouvrir les ports sortants appropriés sur le groupe de sécurité de répertoire afin que le répertoire puisse communiquer avec le cluster.
-
Créez un rôle qui fournit à Amazon Aurora un accès pour passer des appels vers votre AWS Managed Microsoft AD annuaire. Pour ce faire, créez un rôle AWS Identity and Access Management (IAM) qui utilise la politique IAM gérée.
AmazonRDSDirectoryServiceAccessPour que le rôle IAM autorise l'accès, le point de terminaison AWS Security Token Service (AWS STS) doit être activé dans la AWS région appropriée pour votre AWS compte. AWS STS les points de terminaison sont actifs par défaut dans tous les cas Régions AWS, et vous pouvez les utiliser sans autre action. Pour plus d'informations, consultez la section Activation et désactivation AWS STS dans une AWS région dans le guide de l'utilisateur IAM.
-
Créez et configurez des utilisateurs dans l' AWS Managed Microsoft AD annuaire à l'aide des outils Microsoft Active Directory. Pour plus d'informations sur la création d'utilisateurs dans votre Active Directory, voir Gérer les utilisateurs et les groupes dans AWS Managed Microsoft AD dans le Guide d'AWS Directory Service administration.
-
Si vous prévoyez de localiser le répertoire et l'instance de base de données dans différents AWS comptes ou clouds privés virtuels (VPCs), configurez le peering VPC. Pour plus d'informations, consultez Qu'est-ce que l'appairage de VPC ? dans le Guide d'appairage de VPC Amazon.
-
Créez ou modifiez un cluster de base de données PostgreSQL depuis la console, la CLI ou l'API RDS à l'aide de l'une des méthodes suivantes :
Vous pouvez localiser l' de cluster dans le même Amazon Virtual Private Cloud (VPC) que le répertoire ou dans un autre compte AWS ou VPC. Lors de la création ou de la modification du cluster de base de données PostgreSQL, procédez comme suit :
-
Fournissez l'identifiant du domaine (identifiant
d-*) qui a été généré lors de la création de votre annuaire. -
Fournissez le nom du rôle IAM que vous avez créé.
-
Veillez à ce que le groupe de sécurité de l'instance de base de données puisse recevoir le trafic entrant depuis le groupe de sécurité de l'annuaire.
-
-
Utilisez les informations d'identification de l'utilisateur principal RDS pour vous connecter au cluster de base de données PostgreSQL. Créez l'utilisateur dans PostgreSQL en vue de son identification externe. Les utilisateurs identifiés en externe peuvent se connecter au cluster de base de données PostgreSQL à l'aide de l'authentification Kerberos.
