View a markdown version of this page

Menggunakan autentikasi Kerberos untuk Aurora MySQL - Amazon Aurora
Ikhtisar autentikasi Kerberos untuk Aurora MySQLPembatasan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan autentikasi Kerberos untuk Aurora MySQL

Anda dapat menggunakan autentikasi Kerberos untuk mengautentikasi pengguna saat mereka terhubung ke klaster DB Aurora MySQL Anda. Untuk melakukannya, konfigurasikan cluster DB Anda untuk digunakan AWS Directory Service for Microsoft Active Directory untuk otentikasi Kerberos. AWS Directory Service for Microsoft Active Directory disebut juga AWS Managed Microsoft AD. Ini adalah fitur yang tersedia dengan Directory Service. Untuk mempelajari lebih lanjut, lihat Apa itu Directory Service? dalam Panduan AWS Directory Service Administrasi.

Untuk memulai, buat AWS Managed Microsoft AD direktori untuk menyimpan kredensyal pengguna. Kemudian, berikan domain Active Directory dan informasi lainnya ke klaster DB Aurora MySQL Anda. Saat pengguna mengautentikasi dengan klaster DB Aurora MySQL, permintaan autentikasi diteruskan ke direktori AWS Managed Microsoft AD .

Menyimpan semua kredensial Anda di direktori yang sama dapat menghemat waktu dan tenaga Anda. Dengan pendekatan ini, Anda memiliki sebuah lokasi terpusat untuk menyimpan dan mengelola kredensial bagi beberapa klaster DB. Menggunakan direktori juga dapat meningkatkan profil keamanan keseluruhan Anda.

Selain itu, Anda dapat mengakses kredensial dari Microsoft Active Directory on-premise Anda sendiri. Untuk melakukannya, buat hubungan domain tepercaya sehingga direktori AWS Managed Microsoft AD mempercayai Microsoft Active Directory on-premise Anda. Dengan cara ini, pengguna Anda dapat mengakses klaster DB Aurora MySQL Anda dengan pengalaman masuk tunggal (SSO) Windows yang sama seperti ketika mereka mengakses beban kerja di jaringan on-premise Anda.

Database dapat menggunakan Kerberos, AWS Identity and Access Management (IAM), atau keduanya Kerberos dan otentikasi IAM. Namun, karena autentikasi Kerberos dan IAM menyediakan metode autentikasi yang berbeda, pengguna tertentu dapat login ke basis data hanya menggunakan salah satu metode autentikasi, dan tidak bisa keduanya. Untuk informasi selengkapnya tentang autentikasi IAM, lihat Autentikasi basis data IAM.

Daftar Isi

Ikhtisar autentikasi Kerberos untuk klaster DB Aurora MySQL

Untuk menyiapkan autentikasi Kerberos untuk klaster DB Aurora MySQL, selesaikan langkah-langkah umum berikut. Langkah ini dijelaskan secara lebih mendetail nanti.

  1. Gunakan AWS Managed Microsoft AD untuk membuat AWS Managed Microsoft AD direktori. Anda dapat menggunakan Konsol Manajemen AWS, the AWS CLI, atau Directory Service untuk membuat direktori. Untuk petunjuk terperinci, lihat Membuat AWS Managed Microsoft AD direktori Anda di Panduan AWS Directory Service Administrasi.

  2. Buat peran AWS Identity and Access Management (IAM) yang menggunakan kebijakan IAM terkelola. AmazonRDSDirectoryServiceAccess Peran ini memungkinkan Amazon Aurora untuk melakukan panggilan ke direktori Anda.

    Agar peran mengizinkan akses, titik akhir AWS Security Token Service (AWS STS) harus diaktifkan di Wilayah AWS untuk AWS akun Anda. AWS STS endpoint aktif secara default di semua Wilayah AWS, dan Anda dapat menggunakannya tanpa tindakan lebih lanjut. Untuk informasi selengkapnya, lihat Mengaktifkan dan menonaktifkan AWS STS dalam Panduan Pengguna Wilayah AWS IAM.

  3. Buat dan konfigurasikan pengguna di AWS Managed Microsoft AD direktori menggunakan alat Microsoft Active Directory. Untuk informasi selengkapnya tentang membuat pengguna di Active Directory, lihat Mengelola pengguna dan grup di Microsoft AD AWS terkelola di Panduan AWS Directory Service Administrasi.

  4. Buat atau modifikasi klaster DB Aurora MySQL. Jika Anda menggunakan CLI atau API RDS dalam permintaan pembuatan, tentukan pengidentifikasi domain dengan parameter Domain. Gunakan pengidentifikasi d-* yang dihasilkan saat Anda membuat direktori Anda dan nama peran IAM yang Anda buat.

    Jika Anda memodifikasi klaster DB Aurora MySQL yang sudah ada untuk menggunakan autentikasi Kerberos, atur domain dan parameter peran IAM untuk klaster DB. Cari klaster DB di dalam VPC yang sama dengan direktori domain.

  5. Gunakan kredensial pengguna primer Amazon RDS untuk terhubung ke klaster DB Aurora MySQL. Buat pengguna basis data di Aurora MySQL dengan menggunakan petunjuk di Langkah 6: Buat pengguna MySQL Aurora yang menggunakan autentikasi Kerberos.

    Pengguna yang Anda buat dengan cara ini dapat login ke klaster DB Aurora MySQL menggunakan autentikasi Kerberos. Untuk informasi selengkapnya, lihat Membuat koneksi dengan Aurora MySQL lewat autentikasi Kerberos.

Untuk menggunakan autentikasi Kerberos dengan Microsoft Active Directory on-premise atau yang di-host mandiri, buat sebuah trust forest. Trust forest adalah hubungan kepercayaan antara dua kelompok domain. Kepercayaan bisa satu arah atau dua arah. Untuk informasi selengkapnya tentang penggunaan trust hutan Directory Service, lihat Kapan membuat hubungan kepercayaan dalam Panduan AWS Directory Service Administrasi.

Batasan autentikasi Kerberos untuk Aurora MySQL

Pembatasan berikut ini berlaku untuk autentikasi Kerberos untuk Aurora MySQL:

  • Autentikasi Kerberos didukung untuk Aurora MySQL versi 3.03 dan lebih tinggi.

    Untuk informasi tentang Wilayah AWS dukungan, lihatAutentikasi Kerberos dengan Aurora MySQL.

  • Untuk menggunakan autentikasi Kerberos dengan Aurora MySQL, klien atau konektor MySQL Anda harus menggunakan versi 8.0.26 atau lebih tinggi pada platform Unix, 8.0.27 atau lebih tinggi di Windows. Jika tidak, plugin authentication_kerberos_client sisi klien tidak tersedia dan Anda tidak dapat mengautentikasi.

  • Hanya AWS Managed Microsoft AD didukung di Aurora MySQL. Namun, Anda dapat menggabungkan klaster DB Aurora MySQL ke domain Microsoft AD Terkelola bersama yang dimiliki oleh akun-akun yang berbeda di dalam Wilayah AWS yang sama.

    Anda juga dapat menggunakan Active Directory on-premise Anda sendiri. Untuk informasi selengkapnya, lihat Langkah 2: (Opsional) Buat kepercayaan untuk Active Directory on-premise.

  • Saat menggunakan Kerberos untuk mengautentikasi pengguna yang terhubung ke klaster Aurora MySQL dari klien MySQL atau dari driver pada sistem operasi Windows, secara default huruf besar/kecil karakter nama pengguna basis data harus sesuai dengan huruf besar/kecil pengguna di Active Directory. Misalnya, jika pengguna di Active Directory muncul sebagai Admin, nama pengguna basis data harus Admin.

    Namun, Anda sekarang dapat menggunakan perbandingan nama pengguna yang tidak peka huruf besar/kecil dengan plugin authentication_kerberos. Untuk informasi selengkapnya, lihat Langkah 8: (Opsional) Lakukan konfigurasi perbandingan nama pengguna yang tidak peka huruf besar/kecil.

  • Anda harus melakukan boot ulang instans DB pembaca setelah mengaktifkan fitur untuk menginstal plugin authentication_kerberos.

  • Replikasi ke instans DB yang tidak mendukung plugin authentication_kerberos dapat menyebabkan kegagalan replikasi.

  • Agar basis data global Aurora dapat menggunakan autentikasi Kerberos, Anda harus mengonfigurasinya untuk setiap klaster DB di dalam basis data global.

  • Nama domain harus kurang dari 62 karakter.

  • Jangan memodifikasi port klaster DB setelah mengaktifkan autentikasi Kerberos. Jika Anda memodifikasi port, autentikasi Kerberos tidak akan berfungsi lagi.