Passwortauthentifizierung IAM-Datenbankauthentifizierung Kerberos-Authentifizierung

Datenbankauthentifizierung mit Amazon Aurora

Amazon Aurora unterstützt verschiedene Möglichkeiten, Datenbankbenutzer zu authentifizieren.

Die Passwort-Authentifizierung ist standardmäßig für alle DB-Cluster verfügbar. Für Aurora MySQL und Aurora PostgreSQL können Sie auch entweder IAM-Datenbank-Authentifizierung oder Kerberos-Authentifizierung oder beides für denselben DB-Cluster hinzufügen.

Passwort-, Kerberos- und IAM-Datenbank-Authentifizierung verwenden verschiedene Methoden zur Authentifizierung bei der Datenbank. Daher kann sich ein bestimmter Benutzer mit nur einer einzigen Authentifizierungsmethode bei einer Datenbank anmelden.

Verwenden Sie für PostgreSQL nur eine der folgenden Rolleneinstellungen für einen Benutzer einer bestimmten Datenbank:

Um die IAM-Datenbank-Authentifizierung zu verwenden, weisen Sie die rds_iam-Rolle dem Benutzer zu.
Um Kerberos-Authentifizierung zu verwenden, weisen Sie die rds_ad-Rolle dem Benutzer zu.
Um die Passwort-Authentifizierung zu verwenden, weisen Sie keine der beiden rds_iam- oder rds_ad- Rollen dem Benutzer zu.

Weisen Sie nicht beide Rollen rds_iam und rds_ad einem Benutzer einer PostgreSQL-Datenbank zu, weder direkt noch indirekt durch verschachtelten gewährtem Zugriff. Wenn die rds_iam-Rolle dem Hauptbenutzer hinzugefügt wird, hat die IAM-Authentifizierung Vorrang vor der Passwort-Authentifizierung, so dass sich der Hauptbenutzer als IAM-Benutzer anmelden muss.

Wichtig

Wir empfehlen Ihnen, den Hauptbenutzer nicht direkt in Ihren Anwendungen zu verwenden. Bleiben Sie stattdessen bei der bewährten Methode, einen Datenbankbenutzer zu verwenden, der mit den Mindestberechtigungen erstellt wurde, die für Ihre Anwendung erforderlich sind.

Passwortauthentifizierung

Mit der Passwortauthentifizierung führt Ihre Datenbank die gesamte Verwaltung von Benutzerkonten durch. Sie erstellen Benutzer mit SQL-Anweisungen wie CREATE USER, mit der entsprechenden Klausel, die von der DB-Engine zum Angeben von Kennwörtern benötigt wird. In MySQL lautet die Anweisung beispielsweise CREATE USER-Name IDENTIFIED BY-Passwort, während die Anweisung in PostgreSQL CREATE USER-Name WITH PASSWORD-Passwort ist.

Mit der Passwortauthentifizierung steuert und authentifiziert Ihre Datenbank Benutzerkonten. Wenn eine DB-Engine über starke Passwortverwaltungsfunktionen verfügt, können diese die Sicherheit erhöhen. Die Datenbankauthentifizierung ist möglicherweise einfacher mit der Passwortauthentifizierung zu verwalten, wenn Sie kleine Benutzergemeinschaften haben. Da in diesem Fall Klartext-Passwörter generiert werden, kann die Integration mit AWS Secrets Manager die Sicherheit erhöhen.

Weitere Informationen zur Verwendung von Secrets Manager mit Amazon Aurora finden Sie unter Erstellen eines Basis-Secrets und Rotierende Secrets für unterstützte Amazon-RDS-Datenbanken im AWS Secrets Manager-Benutzerhandbuch. Informationen zum programmgesteuerten Abrufen Ihrer Secrets in Ihren benutzerdefinierten Anwendungen finden Sie unter Abrufen des Secret-Werts im AWS Secrets Manager-Benutzerhandbuch.

IAM-Datenbankauthentifizierung

Sie können sich mit der AWS Identity and Access Management (IAM)-Datenbankauthentifizierung bei DB-Clustern authentifizieren. Mit dieser Authentifizierungsmethode benötigen Sie kein Passwort, um eine Verbindung mit DB-Clustern herzustellen. Stattdessen verwenden Sie ein Authentifizierungstoken.

Weitere Informationen zur IAM-Datenbankauthentifizierung, einschließlich Informationen zur Verfügbarkeit bestimmter DB-Engines, finden Sie unter IAM-Datenbankauthentifizierung .

Kerberos-Authentifizierung

Amazon Aurora unterstützt die externe Authentifizierung von Datenbankbenutzern über Kerberos und Microsoft Active Directory. Kerberos ist ein Netzwerk-Authentifizierungsprotokoll, das Tickets und symmetrische Schlüsselkryptographie verwendet, um die Notwendigkeit der Übertragung von Passwörtern über das Netzwerk zu vermeiden. Kerberos wurde in Active Directory integriert und wurde entwickelt, um Benutzer gegenüber Netzwerkressourcen wie Datenbanken zu authentifizieren.

Die Amazon-Aurora-Unterstützung für Kerberos und Active Directory bietet die Vorteile des Single Sign-Ons und der zentralisierten Authentifizierung von Datenbankbenutzern. Sie können Ihre Benutzeranmeldeinformationen in Active Directory speichern. Active Directory bietet einen zentralen Ort für die Speicherung und Verwaltung von Anmeldeinformationen für mehrere DB-Cluster.

Um Anmeldeinformationen aus Ihrem selbstverwalteten Active Directory zu verwenden, müssen Sie für Microsoft Active Directory eine Vertrauensbeziehung zu dem AWS Directory Service einrichten, mit dem der DB-Cluster verbunden ist.

Aurora PostgreSQL und Aurora MySQL unterstützen unidirektionale und bidirektionale Gesamtstruktur-Vertrauensstellungen mit strukturweiter Authentifizierung oder selektiver Authentifizierung.

In einigen Szenarien können Sie die Kerberos-Authentifizierung über eine externe Vertrauensstellung konfigurieren. Dazu muss Ihr selbstverwaltetes Active Directory über zusätzliche Einstellungen verfügen. Dies beinhaltet, ist aber nicht beschränkt auf Kerberos Forest Search Order.

Derzeit unterstützt Aurora die Kerberos-Authentifizierung für DB-Cluster von Aurora MySQL und Aurora PostgreSQL. Weitere Informationen erhalten Sie unter Verwenden der Kerberos-Authentifizierung für Aurora MySQL und Verwenden der Kerberos-Authentifizierung mit Aurora PostgreSQL.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Sicherheit

Passwortverwaltung mit Aurora und Secrets Manager