View a markdown version of this page

Utilizzo dell'autenticazione Kerberos per Aurora MySQL - Amazon Aurora
Panoramica dell'autenticazione Kerberos per Aurora MySQLLimitazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dell'autenticazione Kerberos per Aurora MySQL

Puoi utilizzare l'autenticazione Kerberos per autenticare gli utenti quando si connettono al cluster di database Aurora MySQL. A tale scopo, configura il cluster DB da utilizzare AWS Directory Service for Microsoft Active Directory per l'autenticazione Kerberos. AWS Directory Service for Microsoft Active Directory viene anche chiamato. AWS Managed Microsoft ADÈ una funzionalità disponibile con Directory Service. Per ulteriori informazioni, vedi Cos'è Directory Service? nella Guida all'AWS Directory Service amministrazione.

Per iniziare, crea una AWS Managed Microsoft AD directory per memorizzare le credenziali dell'utente. Quindi fornisci al cluster di database Aurora MySQL il dominio di Active Directory e altre informazioni. Quando gli utenti eseguono l'autenticazione con il cluster di database Aurora MySQL, le richieste di autenticazione vengono inoltrate alla directory AWS Managed Microsoft AD .

Mantenere tutte le credenziali nella stessa directory consente di ridurre il tempo e l'impegno. Con questo approccio, hai una posizione centralizzata per archiviare e gestire le credenziali per più cluster di database. L'uso di una directory può inoltre migliorare il profilo di sicurezza complessivo.

Puoi inoltre accedere alle credenziali da Microsoft Active Directory on-premise. A tale scopo, crea una relazione di dominio trusting in modo che la directory AWS Managed Microsoft AD consideri attendibile Microsoft Active Directory on-premise. In questo modo, gli utenti possono accedere ai cluster di database Aurora MySQL con la stessa esperienza di autenticazione unica (SSO) di Windows dei carichi di lavoro nella rete on-premise.

Un database può utilizzare Kerberos AWS Identity and Access Management (IAM) o entrambe le procedure di autenticazione Kerberos e IAM. Tuttavia, poiché l'autenticazione Kerberos e IAM forniscono metodi di autenticazione diversi, un utente specifico può accedere a un database utilizzando solo uno o l'altro metodo di autenticazione, ma non entrambi. Per ulteriori informazioni sull’autenticazione IAM, consulta Autenticazione del database IAM .

Indice

Panoramica dell'autenticazione Kerberos per cluster di database Aurora MySQL

Per configurare l'autenticazione Kerberos per un cluster di database Aurora MySQL, completa le fasi generali riportate di seguito. che vengono descritte dettagliatamente più avanti.

  1. Utilizzare per creare una AWS Managed Microsoft AD directory. AWS Managed Microsoft AD È possibile utilizzare il Console di gestione AWS AWS CLI, il o il Directory Service per creare la directory. Per istruzioni dettagliate, consulta Create your AWS Managed Microsoft AD directory nella AWS Directory Service Administration Guide.

  2. Crea un ruolo AWS Identity and Access Management (IAM) che utilizzi la policy IAM gestitaAmazonRDSDirectoryServiceAccess. Il ruolo consente ad Amazon Aurora di effettuare chiamate alla tua directory.

    Affinché il ruolo consenta l'accesso, l'endpoint AWS Security Token Service (AWS STS) deve essere attivato nel campo Regione AWS per il tuo AWS account. AWS STS Gli endpoint sono tutti Regioni AWS attivi per impostazione predefinita e puoi utilizzarli senza ulteriori azioni. Per ulteriori informazioni, consulta Attivazione e disattivazione AWS STSRegione AWS in un capitolo della IAM User Guide.

  3. Crea e configura gli utenti nella AWS Managed Microsoft AD directory utilizzando gli strumenti di Microsoft Active Directory. Per ulteriori informazioni sulla creazione di utenti in Active Directory, vedere Gestire utenti e gruppi in Microsoft AD AWS gestito nella Guida all'AWS Directory Service amministrazione.

  4. Crea o modifica un cluster di database Aurora MySQL. Se si utilizza l'interfaccia a riga di comando (CLI) o l'API RDS nella richiesta di creazione, specificare un identificatore di dominio con il parametro Domain. Utilizza l'identificatore d-* generato al momento della creazione della directory e il nome del ruolo IAM creato.

    Se modifichi un cluster di database Aurora MySQL esistente per utilizzare l'autenticazione Kerberos, imposta i parametri di dominio e ruolo IAM per il cluster di database. Individua il cluster di database nello stesso VPC della directory di dominio.

  5. Utilizza le credenziali dell'utente principale Amazon RDS per connetterti al cluster di database Aurora MySQL. Crea l'utente del database in Aurora MySQL utilizzando le istruzioni riportate in Fase 6: creazione di utenti Aurora MySQL che utilizzano l'autenticazione Kerberos.

    Gli utenti creati in questo modo possono accedere al cluster di database Aurora MySQL utilizzando l'autenticazione Kerberos. Per ulteriori informazioni, consulta Connessione ad Aurora MySQL con l'autenticazione Kerberos.

Per usare l'autenticazione Kerberos con una Microsoft Active Directory on-premise o auto ospitato, crea un trust tra foreste. Un trust tra foreste è una relazione di trust tra due gruppi di domini. La fiducia può essere a senso unico o bidirezionale. Per ulteriori informazioni sulla configurazione dei trust forestali utilizzando Directory Service, vedere Quando creare una relazione di fiducia nella Guida all'AWS Directory Service amministrazione.

Limitazioni dell'autenticazione Kerberos per Aurora MySQL

Le seguenti limitazioni si applicano all'autenticazione Kerberos per Aurora MySQL:

  • L'autenticazione Kerberos è supportata per Aurora MySQL versione 3.03 e successive.

    Per informazioni sul Regione AWS supporto, vedereAutenticazione Kerberos con Aurora MySQL.

  • Per utilizzare l'autenticazione Kerberos con Aurora MySQL, il client o il connettore MySQL deve utilizzare la versione 8.0.26 o successiva su piattaforme Unix e 8.0.27 o successiva su Windows. In caso contrario, il plugin authentication_kerberos_client lato client non è disponibile e non puoi autenticarti.

  • AWS Managed Microsoft AD È supportato solo su Aurora MySQL. Tuttavia, puoi aggiungere i cluster di database Aurora MySQL a domini Microsoft AD gestita condivisi di proprietà di account diversi nella stessa Regione AWS.

    Inoltre puoi utilizzare la tua Active Directory on-premise. Per ulteriori informazioni, consulta Fase 2: (facoltativa) creazione di un trust per una Active Directory on-premise.

  • Quando utilizzi Kerberos per autenticare un utente che si connette al cluster Aurora MySQL dai client MySQL o dai driver nel sistema operativo Windows, per impostazione predefinita i caratteri maiuscoli e minuscoli del nome utente del database devono corrispondere a quelli dell'utente in Active Directory. Ad esempio, se l'utente in Active Directory è Admin, il nome utente del database deve essere Admin.

    Tuttavia, ora puoi utilizzare il confronto dei nomi utente senza distinzione tra maiuscole e minuscole con il plugin authentication_kerberos. Per ulteriori informazioni, consulta Fase 8: (facoltativo) configurazione il confronto dei nomi utente senza distinzione tra maiuscole e minuscole.

  • È necessario riavviare le istanze database di lettura dopo aver attivato la funzionalità per installare il plugin authentication_kerberos.

  • La replica su istanze database che non supportano il plugin authentication_kerberos può causare un errore di replica.

  • Affinché i database globali Aurora utilizzino l'autenticazione Kerberos, è necessario configurarla per ogni cluster del database globale.

  • Il nome di dominio non deve contenere più di 62 caratteri.

  • Non modificare la porta del cluster di database dopo aver abilitato l'autenticazione Kerberos. Se si modifica la porta, l'autenticazione Kerberos non funzionerà.