Utilizzo dell'autenticazione Kerberos per Aurora My SQL - Amazon Aurora
Panoramica dell'autenticazione Kerberos per Aurora My SQLLimitazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dell'autenticazione Kerberos per Aurora My SQL

È possibile utilizzare l'autenticazione Kerberos per autenticare gli utenti quando si connettono al cluster Aurora My DB. SQL A tale scopo, configura il cluster DB da utilizzare per l' AWS Directory Service for Microsoft Active Directory autenticazione Kerberos. AWS Directory Service for Microsoft Active Directory viene anche chiamato. AWS Managed Microsoft ADÈ una funzionalità disponibile con AWS Directory Service. Per ulteriori informazioni, vedi Cos'è AWS Directory Service? nella Guida all'AWS Directory Service amministrazione.

Per iniziare, crea una AWS Managed Microsoft AD directory per memorizzare le credenziali dell'utente. Quindi, fornisci il dominio di Active Directory e altre informazioni al tuo cluster Aurora My SQL DB. Quando gli utenti si autenticano con il cluster Aurora SQL My DB, le richieste di autenticazione vengono inoltrate alla directory. AWS Managed Microsoft AD

Mantenere tutte le credenziali nella stessa directory consente di ridurre il tempo e l'impegno. Con questo approccio, hai una posizione centralizzata per archiviare e gestire le credenziali per più cluster di database. L'uso di una directory può inoltre migliorare il profilo di sicurezza complessivo.

Puoi inoltre accedere alle credenziali da Microsoft Active Directory on-premise. A tale scopo, crea una relazione di dominio trusting in modo che la directory AWS Managed Microsoft AD consideri attendibile Microsoft Active Directory on-premise. In questo modo, gli utenti possono accedere ai cluster Aurora My SQL DB con la stessa esperienza Windows single sign-on (SSO) di quando accedono ai carichi di lavoro nella rete locale.

Un database può utilizzare Kerberos, AWS Identity and Access Management () o entrambi Kerberos e l'autenticazioneIAM. IAM Tuttavia, poiché Kerberos e IAM l'autenticazione offrono metodi di autenticazione diversi, un utente specifico può accedere a un database utilizzando solo l'uno o l'altro metodo di autenticazione, ma non entrambi. Per ulteriori informazioni sull'autenticazione IAM, consulta Autenticazione del database IAM .

Indice

Panoramica dell'autenticazione Kerberos per i cluster Aurora My DB SQL

Per configurare l'autenticazione Kerberos per un cluster Aurora My SQL DB, completare i seguenti passaggi generali. che vengono descritte dettagliatamente più avanti.

  1. Utilizzare per AWS Managed Microsoft AD creare una directory. AWS Managed Microsoft AD È possibile utilizzare il AWS Management Console AWS CLI, il o il AWS Directory Service per creare la directory. Per istruzioni dettagliate, consulta Create your AWS Managed Microsoft AD directory nella AWS Directory Service Administration Guide.

  2. Crea un ruolo AWS Identity and Access Management (IAM) che utilizzi la IAM policy gestitaAmazonRDSDirectoryServiceAccess. Il ruolo consente ad Amazon Aurora di effettuare chiamate alla tua directory.

    Affinché il ruolo consenta l'accesso, l'endpoint AWS Security Token Service (AWS STS) deve essere attivato nel campo Regione AWS per il tuo AWS account. AWS STS Gli endpoint sono tutti Regioni AWS attivi per impostazione predefinita e puoi utilizzarli senza ulteriori azioni. Per ulteriori informazioni, consulta Attivazione e disattivazione AWS STSRegione AWS in un capitolo della Guida per l'utente. IAM

  3. Crea e configura gli utenti nella AWS Managed Microsoft AD directory utilizzando gli strumenti di Microsoft Active Directory. Per ulteriori informazioni sulla creazione di utenti in Active Directory, vedere Gestire utenti e gruppi in Microsoft AD AWS gestito nella Guida all'AWS Directory Service amministrazione.

  4. Crea o modifica un cluster Aurora My SQL DB. Se utilizzi CLI o RDS API nella richiesta di creazione, specifica un identificatore di dominio con il Domain parametro. Utilizzate l'd-*identificatore generato quando avete creato la directory e il nome del IAM ruolo che avete creato.

    Se modifichi un cluster Aurora My SQL DB esistente per utilizzare l'autenticazione Kerberos, imposta i parametri di dominio e IAM ruolo per il cluster DB. Individua il cluster DB nella VPC stessa directory del dominio.

  5. Utilizza le credenziali utente RDS primarie di Amazon per connetterti al cluster Aurora SQL My DB. Crea l'utente del database in Aurora My SQL utilizzando le istruzioni in. Fase 6: creazione di utenti Aurora MySQL che utilizzano l'autenticazione Kerberos

    Gli utenti creati in questo modo possono accedere al cluster Aurora My SQL DB utilizzando l'autenticazione Kerberos. Per ulteriori informazioni, consulta Connessione ad Aurora MySQL con l'autenticazione Kerberos.

Per usare l'autenticazione Kerberos con una Microsoft Active Directory on-premise o auto ospitato, crea un trust tra foreste. Un trust tra foreste è una relazione di trust tra due gruppi di domini. La fiducia può essere a senso unico o bidirezionale. Per ulteriori informazioni sulla configurazione dei trust forestali utilizzando AWS Directory Service, consulta When to create a trust relationship nella Administration Guide.AWS Directory Service

Limitazioni dell'autenticazione Kerberos per Aurora My SQL

Le seguenti limitazioni si applicano all'autenticazione Kerberos per Aurora My: SQL

  • L'autenticazione Kerberos è supportata per Aurora My SQL versione 3.03 e successive.

    Per informazioni sul supporto, consulta Regione AWS . Autenticazione Kerberos con Aurora MySQL

  • Per utilizzare l'autenticazione Kerberos con Aurora MySQL, il SQL client o connettore My deve utilizzare la versione 8.0.26 o successiva sulle piattaforme Unix, 8.0.27 o successiva su Windows. In caso contrario, il plugin authentication_kerberos_client lato client non è disponibile e non puoi autenticarti.

  • AWS Managed Microsoft AD È supportato solo su Aurora My. SQL Tuttavia, puoi unire i cluster Aurora My SQL DB a domini Microsoft AD gestiti condivisi di proprietà di account diversi all'interno dello stesso. Regione AWS

    Inoltre puoi utilizzare la tua Active Directory on-premise. Per ulteriori informazioni, consulta Fase 2: (facoltativa) creazione di un trust per una Active Directory on-premise.

  • Quando si utilizza Kerberos per autenticare un utente che si connette al SQL cluster Aurora My dai miei SQL client o dai driver sul sistema operativo Windows, per impostazione predefinita la maiuscola e minuscola del nome utente del database deve corrispondere a quella dell'utente in Active Directory. Ad esempio, se l'utente in Active Directory è Admin, il nome utente del database deve essere Admin.

    Tuttavia, ora puoi utilizzare il confronto dei nomi utente senza distinzione tra maiuscole e minuscole con il plugin authentication_kerberos. Per ulteriori informazioni, consulta Fase 8: (facoltativo) configurazione il confronto dei nomi utente senza distinzione tra maiuscole e minuscole.

  • È necessario riavviare le istanze database di lettura dopo aver attivato la funzionalità per installare il plugin authentication_kerberos.

  • La replica su istanze database che non supportano il plugin authentication_kerberos può causare un errore di replica.

  • Affinché i database globali Aurora utilizzino l'autenticazione Kerberos, è necessario configurarla per ogni cluster del database globale.

  • Il nome di dominio non deve contenere più di 62 caratteri.

  • Non modificare la porta del cluster di database dopo aver abilitato l'autenticazione Kerberos. Se si modifica la porta, l'autenticazione Kerberos non funzionerà.