Autenticazione del database con Amazon Aurora - Amazon Aurora
Autenticazione passwordAutenticazione del database IAMAutenticazione Kerberos

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autenticazione del database con Amazon Aurora

Amazon Aurora supporta diversi modi per autenticare gli utenti del database.

L'autenticazione con password è disponibile per impostazione predefinita per tutti i cluster database. Per Aurora MySQL e Aurora PostgreSQL, puoi aggiungere sia l'autenticazione del database IAM che l'autenticazione Kerberos per lo stesso cluster di database.

L'autenticazione con password, Kerberos e del database IAM utilizzano diversi metodi di autenticazione nel database. Pertanto, un utente specifico può accedere a un database utilizzando un solo metodo di autenticazione.

Per PostgreSQL, utilizza solo una delle seguenti impostazioni di ruolo per un utente di un database specifico:

  • Per utilizzare l'autenticazione del database IAM, assegna all'utente il ruolo rds_iam.

  • Per utilizzare l'autenticazione Kerberos, assegna all'utente il ruolo rds_ad.

  • Per utilizzare l'autenticazione con password, non assegnare i ruoli rds_iam o rds_ad.

Non assegnare entrambi i ruoli rds_iam e rds_ad a un utente di un database PostgreSQL direttamente o indirettamente mediante l'accesso di concessione nidificato. Se all'utente master, viene aggiunto il ruolo rds_iam, l'autenticazione IAM ha la precedenza sull'autenticazione con password, quindi l'utente master dovrà accedere come utente IAM.

Importante

Si consiglia di non utilizzare l'utente master direttamente nelle applicazioni. Rispetta piuttosto la best practice di utilizzare un utente del database creato con i privilegi minimi richiesti per l'applicazione.

Autenticazione password

Con autenticazione con password il database esegue tutta l'amministrazione degli account utente. È possibile creare utenti con istruzioni SQL come CREATE USER, con la clausola appropriata richiesta dal motore DB per specificare le password. Ad esempio, in MySQL l'istruzione CREATE USER name IDENTIFIED BY password è, mentre in PostgreSQL l'istruzione è. CREATE USER name WITH PASSWORD password

Con l'autenticazione con password, il database controlla e autentica gli account utente. Se un motore DB dispone di potenti funzionalità di gestione delle password, può migliorare la sicurezza. L'autenticazione del database potrebbe essere più semplice da amministrare utilizzando l'autenticazione con password quando si dispone di comunità di utenti di piccole dimensioni. Poiché in questo caso vengono generate password con testo non crittografato, l'integrazione con può migliorare la sicurezza. AWS Secrets Manager

Per informazioni sull'uso di Secrets Manager con Amazon Aurora, consulta Creazione di un segreto di base e Rotating secret per i database Amazon RDS supportati nella Guida per l'utente.AWS Secrets Manager Per informazioni sul recupero a livello di programmazione dei segreti nelle applicazioni personalizzate, consulta Recupero del valore segreto nella Guida per l'utente di AWS Secrets Manager .

Autenticazione del database IAM

Puoi autenticarti nel tuo cluster di DB utilizzando l'autenticazione del database AWS Identity and Access Management (IAM). Con questo metodo di autenticazione, non è necessario utilizzare una password quando ci si connette a un cluster di DB. Utilizzi invece un token di autenticazione.

Per ulteriori informazioni sull'autenticazione del database IAM, incluse le informazioni sulla disponibilità per motori DB specifici, consultaAutenticazione del database IAM .

Autenticazione Kerberos

Amazon Aurora Amazon supporta l'autenticazione esterna degli utenti del database tramite Kerberos e Microsoft Active Directory. Kerberos è un protocollo di autenticazione di rete che utilizza ticket e crittografia a chiave simmetrica eliminando la necessità di scambiare password sulla rete. È stato integrato in Microsoft Active Directory ed è progettato per autenticare gli utenti su risorse di rete, ad esempio i database.

Amazon Aurora Il supporto Amazon per Kerberos e Active Directory offre i vantaggi del single sign-on e dell'autenticazione centralizzata degli utenti del database. Puoi mantenere le tue credenziali utente in Active Directory.

Per utilizzare le credenziali dell'Active Directory autogestito, è necessario impostare una relazione di trust con AWS Directory Service Microsoft Active Directory a cui è unito il cluster DB dell' DB.

di trust tra foreste unidirezionali e bidirezionali con autenticazione a livello di foresta o autenticazione selettiva.

In alcuni scenari, è possibile configurare l'autenticazione Kerberos tramite una relazione di trust esterna. Ciò richiede che l'Active Directory autogestito disponga di impostazioni aggiuntive. Ciò include, a titolo esemplificativo ma non esaustivo, Kerberos Forest Search Order.

Aurora supporta l'autenticazione Kerberos per i cluster di database Aurora MySQL e Aurora PostgreSQL. Per ulteriori informazioni, vedere Utilizzo dell'autenticazione Kerberos per Aurora My SQL e. Utilizzo di Autenticazione Kerberos con Aurora PostgreSQL