Verwenden der Kerberos-Authentifizierung für Aurora MySQL

Sie können die Kerberos-Authentifizierung verwenden, um Benutzer zu authentifizieren, wenn diese sich mit Ihrem DB-Cluster von Aurora MySQL verbinden. Konfigurieren Sie Ihren DB-Cluster dazu so, dass AWS Directory Service for Microsoft Active Directory für die Kerberos-Authentifizierung verwendet wird. AWS Directory Service for Microsoft Active Directory wird auch als AWS Managed Microsoft AD bezeichnet. Es ist eine Funktion, die mit AWS Directory Service verfügbar ist. Weitere Informationen finden Sie unter Was ist AWS Directory Service? im Administratorhandbuch für AWS Directory Service.

Zunächst erstellen Sie ein AWS Managed Microsoft AD-Verzeichnis, um Benutzeranmeldeinformationen zu speichern. Anschließend stellen Sie Ihrem DB-Cluster von Aurora MySQL die Active Directory Domain und weitere Informationen zur Verfügung. Wenn sich Benutzer beim DB-Cluster von Aurora MySQL authentifizieren, werden Authentifizierungsanforderungen an das AWS Managed Microsoft AD-Verzeichnis weitergeleitet.

Wenn Sie alle Ihre Anmeldeinformationen im selben Verzeichnis aufbewahren, können Sie Zeit und Mühe sparen. Mit diesem Ansatz haben Sie einen zentralen Ort für die Speicherung und Verwaltung von Anmeldeinformationen für mehrere DB-Cluster. Die Verwendung eines Verzeichnisses kann auch Ihr allgemeines Sicherheitsprofil verbessern.

Außerdem können Sie von Ihrem eigenen On-Premises Microsoft Active Directory auf Anmeldeinformationen zugreifen. Dazu erstellen Sie eine vertrauensvolle Domain-Beziehung, damit das AWS Managed Microsoft AD-Verzeichnis Ihrem On-Premises Microsoft Active Directory vertraut. Auf diese Weise können Ihre Benutzer auf Ihre DB-Cluster von Aurora SQL mit derselben Windows Single Sign-On-Oberfläche (SSO) zugreifen, die sie auch für den Zugriff auf Workloads in Ihrem lokalen Netzwerk verwenden.

Eine Datenbank kann Kerberos, AWS Identity and Access Management (IAM) oder sowohl Kerberos- als auch IAM-Authentifizierung nutzen. Da die Kerberos- und IAM-Authentifizierung jedoch unterschiedliche Authentifizierungsmethoden bereitstellen, kann sich ein bestimmter Benutzer nur mit der einen oder anderen Authentifizierungsmethode bei einer Datenbank anmelden, jedoch nicht mit beiden. Weitere Informationen zur IAM-Authentifizierung finden Sie unter IAM-Datenbankauthentifizierung.

Inhalt

• Übersicht über die Kerberos-Authentifizierung für DB-Cluster von Aurora MySQL
• Einschränkungen bei der Kerberos-Authentifizierung für Aurora MySQL
• Einrichten der Kerberos-Authentifizierung für DB-Cluster von Aurora MySQL
  • Schritt 1: Erstellen eines Verzeichnisses mit AWS Managed Microsoft AD
  • Schritt 2: (Optional) Erstellen einer Vertrauensstellung für ein On-Premise-Active-Directory
  • Schritt 3: Erstellen einer IAM-Rolle zur Verwendung durch Amazon Aurora
  • Schritt 4: Anlegen und Konfigurieren von Benutzern
  • Schritt 5: Erstellen oder Ändern eines DB-Clusters von Aurora MySQL
  • Schritt 6: Erstellen von Aurora-MySQL-Benutzern, die die Kerberos-Authentifizierung verwenden
    • Ändern einer vorhandenen Aurora-MySQL-Anmeldung
  • Schritt 7: Konfigurieren eines MySQL-Clients
  • Schritt 8: (Optional) Konfigurieren eines Benutzernamenvergleichs ohne Berücksichtigung der Groß-/Kleinschreibung
• Herstellen einer Verbindung mit Aurora MySQL mit Kerberos-Authentifizierung
  • Verwenden der Kerberos-Anmeldung von Aurora MySQL, um eine Verbindung mit dem DB-Cluster herzustellen
  • Kerberos-Authentifizierung mit globalen Aurora-Datenbanken
  • Migration von RDS für MySQL zu Aurora MySQL
  • Verhindern einer Zwischenspeicherung von Tickets
  • Protokollieren für die Kerberos-Authentifizierung
• Verwalten eines DB-Clusters in einer Domäne
  • Grundlegendes zur Domänenmitgliedschaft

Übersicht über die Kerberos-Authentifizierung für DB-Cluster von Aurora MySQL

Wenn Sie die Kerberos-Authentifizierung für einen DB-Cluster von Aurora MySQL einrichten möchten, führen Sie die folgenden allgemeinen Schritte aus. Diese Schritte werden später ausführlich beschrieben.

1. Verwenden Sie AWS Managed Microsoft AD zum Erstellen eines AWS Managed Microsoft AD-Verzeichnisses. Zur Erstellung des Verzeichnisses können Sie AWS Management Console, AWS CLI oder AWS Directory Service verwenden. Ausführliche Anweisungen dazu finden Sie unter Erstellen Ihres AWS Managed Microsoft AD-Verzeichnisses im AWS Directory Service-Administratorhandbuch.

2. Erstellen Sie eine AWS Identity and Access Management-(IAM)-Rolle, die die verwaltete IAM-Richtlinie AmazonRDSDirectoryServiceAccess verwendet. Die Rolle erlaubt Amazon Aurora, Aufrufe an Ihr Verzeichnis zu senden.

   Damit die Rolle Zugriff gewährt, muss der AWS Security Token Service (AWS STS)-Endpunkt in der AWS-Region für Ihr AWS-Konto aktiviert sein. AWS STS-Endpunkte sind standardmäßig in allen AWS-Regionen aktiv und Sie können sie ohne weitere Maßnahmen nutzen. Weitere Informationen finden Sie unter Aktivieren und Deaktivieren von AWS STS in einer AWS-Region im IAM-Benutzerhandbuch.

3. Erstellen und konfigurieren Sie Benutzer im Verzeichnis AWS Managed Microsoft AD mithilfe der Tools aus dem Microsoft Active Directory. Weitere Informationen zum Erstellen von Benutzern in Ihrem Active Directory finden Sie unter Verwalten von Benutzern und Gruppen in AWS Managed Microsoft AD im AWS Directory Service Administrationshandbuch.

4. Erstellen oder ändern Sie einen DB-Cluster von Aurora MySQL. Wenn Sie entweder die CLI oder die RDS-API für die Erstellungsanforderung verwenden, geben Sie eine Domänen-ID mit dem Parameter Domain an. Verwenden Sie die d-*-ID, die bei der Erstellung Ihres Verzeichnisses generiert wurde, und den Namen der von Ihnen erstellten IAM-Rolle.

   Wenn Sie einen vorhandenen DB-Cluster von Aurora MySQL so ändern, dass er die Kerberos-Authentifizierung verwendet, legen Sie die Parameter für die Domain und die IAM-Rolle für den DB-Cluster fest. Suchen Sie den DB-Cluster in derselben VPC wie das Domain-Verzeichnis.

5. Verwenden Sie die Hauptbenutzer-Anmeldeinformationen von Amazon RDS, um sich mit dem DB-Cluster von Aurora MySQL zu verbinden. Erstellen Sie den Datenbankbenutzer in Aurora MySQL gemäß den Anweisungen in Schritt 6: Erstellen von Aurora-MySQL-Benutzern, die die Kerberos-Authentifizierung verwenden.

   Benutzer, die Sie auf diese Weise anlegen, können sich mit der Kerberos-Authentifizierung beim DB-Cluster von Aurora MySQL anmelden. Weitere Informationen finden Sie unter Herstellen einer Verbindung mit Aurora MySQL mit Kerberos-Authentifizierung.

Wenn Sie die Kerberos-Authentifizierung mit einem On-Premises oder einem selbst gehosteten Microsoft Active Directory verwenden möchten, erstellen Sie eine Gesamtstruktur-Vertrauensstellung. Eine Gesamtstruktur-Vertrauensstellung ist eine Vertrauensbeziehung zwischen zwei Gruppen von Domains. Die Vertrauensstellung kann uni- oder bidirektional sein. Weitere Informationen zur Einrichtung einer gesamtstrukturbasierten Vertrauensstellung mit AWS Directory Service finden Sie unter ?Wann sollte eine Vertrauensstellung erstellt werden im AWS Directory Service-Administrationshandbuch.

Einschränkungen bei der Kerberos-Authentifizierung für Aurora MySQL

Die folgenden Einschränkungen gelten für die Kerberos-Authentifizierung für Aurora MySQL:

• Die Kerberos-Authentifizierung wird für Aurora MySQL Version 3.03 und höher unterstützt.

  Weitere Informationen zur AWS-Region-Unterstützung finden Sie unter Kerberos-Authentifizierung mit Aurora MySQL.

• Um die Kerberos-Authentifizierung mit Aurora MySQL zu verwenden, muss Ihr MySQL-Client oder Connector Version 8.0.26 oder höher auf Unix-Plattformen bzw. 8.0.27 oder höher unter Windows verwenden. Andernfalls ist das clientseitige authentication_kerberos_client-Plugin nicht verfügbar und Sie können sich nicht authentifizieren.

• Nur AWS Managed Microsoft AD wird in Aurora MySQL unterstützt. Sie können jedoch DB-Cluster von Aurora MySQL zu gemeinsam genutzten verwalteten Microsoft-AD-Domains zusammenführen, die verschiedenen Konten in derselben AWS-Region gehören.

  Außerdem können Sie ein eigenes On-Premises Active Directory verwenden. Weitere Informationen finden Sie unter Schritt 2: (Optional) Erstellen einer Vertrauensstellung für ein On-Premise-Active-Directory.

• Wenn Kerberos verwendet wird, um einen Benutzer zu authentifizieren, der sich von MySQL-Clients oder von Treibern auf dem Windows-Betriebssystem aus mit dem Aurora-MySQL-Cluster verbindet, muss die Groß-/Kleinschreibung des Datenbankbenutzernamens standardmäßig mit der Groß-/Kleinschreibung des Benutzers im Active Directory übereinstimmen. Wenn der Benutzer im Active Directory beispielsweise als Admin angezeigt wird, muss der Datenbankbenutzername Admin lauten.

  Mit dem Plug-in authentication_kerberos können Sie jetzt jedoch den Benutzernamenvergleich ohne Berücksichtigung der Groß-/Kleinschreibung verwenden. Weitere Informationen finden Sie unter Schritt 8: (Optional) Konfigurieren eines Benutzernamenvergleichs ohne Berücksichtigung der Groß-/Kleinschreibung.

• Sie müssen die Reader-DB-Instances neu starten, nachdem Sie die Funktion zur Installation des authentication_kerberos-Plugins aktiviert haben.

• Die Replikation auf DB-Instances, die das authentication_kerberos-Plugin nicht unterstützen, kann zu einem Replikationsfehler führen.

• Damit globale Aurora-Datenbanken die Kerberos-Authentifizierung verwenden können, müssen Sie diese für jeden DB-Cluster in der globalen Datenbank konfigurieren.

• Der Domain-Name muss weniger als 62 Zeichen lang sein.

• Ändern Sie den DB-Cluster-Port nicht, nachdem Sie die Kerberos-Authentifizierung aktiviert haben. Wenn Sie den Port ändern, funktioniert die Kerberos-Authentifizierung nicht mehr.