Disponibilità di regioni e versioni Panoramica dell'autenticazione Kerberos

Utilizzo di Autenticazione Kerberos con Amazon RDS for PostgreSQL

Puoi utilizzare Kerberos per autenticare gli utenti quando si connettono all'istanza database che esegue PostgreSQL. A tale scopo, configura l'istanza database in modo da utilizzare AWS Directory Service for Microsoft Active Directory per l'autenticazione Kerberos. AWS Directory Service for Microsoft Active Directory è anche chiamato AWS Managed Microsoft AD. È una funzionalità disponibile con AWS Directory Service. Per ulteriori informazioni, consultare Che cos'è AWS Directory Service?nella Guida di amministrazione di AWS Directory Service.

Per iniziare, crea una directory AWS Managed Microsoft AD in cui archiviare le credenziali utente. Per l'istanza database PostgreSQL, specifica quindi il dominio di Active Directory e altre informazioni. Quando gli utenti eseguono l'autenticazione con l'istanza database PostgreSQL, le richieste di autenticazione vengono inoltrate alla directory AWS Managed Microsoft AD.

Mantenere tutte le credenziali nella stessa directory consente di ridurre il tempo e l'impegno. È disponibile una posizione centralizzata per archiviare e gestire le credenziali per più istanze database. L'uso di una directory può inoltre migliorare il profilo di sicurezza complessivo.

Puoi inoltre accedere alle credenziali da Microsoft Active Directory on-premise. A tale scopo, crea una relazione di dominio trusting in modo che la directory AWS Managed Microsoft AD consideri attendibile Microsoft Active Directory on-premise. In questo modo, gli utenti possono accedere alle istanze PostgreSQL con la stessa esperienza SSO (Single Sign-On) Windows dei carichi di lavoro nella rete locale.

Un database può utilizzare l'autenticazione con password o l'autenticazione con password con l'autenticazione Kerberos o AWS Identity and Access Management (IAM). Per ulteriori informazioni sull'autenticazione IAM, consulta Autenticazione del database IAM per MariaDB, MySQL e PostgreSQL.

Nota

RDS per PostgreSQL non supporta l’autenticazione Kerberos per gruppi di Active Directory.

Argomenti

Disponibilità di regioni e versioni

Il supporto varia a seconda delle versioni specifiche di ciascun motore di database e a seconda delle Regioni AWS. Per ulteriori informazioni sulla disponibilità della versione e della regione di RDS per PostgreSQL con autenticazione Kerberos, consulta Regioni e motori di database supportati per l’autenticazione Kerberos in Amazon RDS.

Panoramica di Autenticazione Kerberos per istanze database di PostgreSQL

Per configurare l'autenticazione Kerberos per un'istanza database di PostgreSQL, segui queste fasi, descritte dettagliatamente più avanti:

Utilizza AWS Managed Microsoft AD per creare una directory AWS Managed Microsoft AD. Puoi utilizzare la AWS Management Console, AWS CLI o l'API AWS Directory Service per creare la directory. Assicurati di aprire le porte in uscita rilevanti nel gruppo di sicurezza della directory in modo che la directory possa comunicare con l'istanzadel .
Crea un ruolo che fornisca l'accesso Amazon RDS per effettuare chiamate alla directory AWS Managed Microsoft AD. Per far ciò, crea un ruolo AWS Identity and Access Management (IAM) che utilizza la policy IAM gestita AmazonRDSDirectoryServiceAccess.

Affinché il ruolo IAM possa permettere l'accesso, l'endpoint AWS Security Token Service (AWS STS) deve essere attivato nella regione AWS corretta per l'account AWS. Gli endpoint AWS STS sono attivi per impostazione predefinita in tutte le Regioni AWS e possono essere utilizzati senza ulteriori interventi. Per ulteriori informazioni, consulta Attivazione e disattivazione di AWS STS in una regione AWS nella Guida per l’utente di IAM.
Crea e configura utenti nella directory AWS Managed Microsoft AD utilizzando gli strumenti di Microsoft Active Directory. Per ulteriori informazioni sulla creazione di utenti Microsoft Active Directory, consulta Gestione di utenti e gruppi in AWS Managed Microsoft AD nella Guida all’amministrazione di AWS Directory Service.
Se si prevede di salvare la directory e l'istanza database in account AWS o in cloud privati virtuali (VPC, Virtual Private Cloud) differenti, configurare il peering di VPC. Per ulteriori informazioni, consulta Che cos'è il peering di VPC? nella Amazon VPC Peering Guide.
Creare o modificare un'istanza database di PostgreSQL dalla console, da CLI o dall'API di RDS utilizzando uno dei seguenti metodi:
Puoi individuare l’istanza nello stesso Amazon Virtual Private Cloud (VPC) della directory o in un VPC o account AWS diverso. Quando crei o modifichi l'istanza database PostgreSQL, completa le seguenti operazioni:
- Specifica l'identificativo del dominio (identificativo d-*) generato al momento della creazione della directory.
- Specifica anche il nome del ruolo IAM creato.
- Assicurati che il gruppo di sicurezza dell'istanza database possa ricevere traffico in entrata dal gruppo di sicurezza della directory.
Utilizzare le credenziali dell'utente master RDS per connettersi all'istanza database di PostgreSQL. Creare l'utente in PostgreSQL per l'identificazione esterna. Gli utenti identificati esternamente possono accedere all'istanza database di PostgreSQL con l'autenticazione Kerberos.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Aggiornamento delle applicazioni per l'uso dei nuovi certificati SSL/TLS

Configurazione