Verwenden der Kerberos-Authentifizierung mit Aurora PostgreSQL - Amazon Aurora
Verfügbarkeit von Regionen und VersionenÜbersicht über die Kerberos-Authentifizierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden der Kerberos-Authentifizierung mit Aurora PostgreSQL

Sie können Kerberos verwenden, um Benutzer zu authentifizieren, wenn sie sich mit Ihrem DB-Cluster mit PostgreSQL verbinden. Dazu konfigurieren Sie Ihren DB-Cluster so, dass AWS Directory Service for Microsoft Active Directory für die Kerberos-Authentifizierung verwendet wird. AWS Directory Service for Microsoft Active Directory wird auch als AWS Managed Microsoft AD bezeichnet. Es ist eine Funktion, die mit AWS Directory Service verfügbar ist. Weitere Informationen finden Sie unter Was ist AWS Directory Service? im Administratorhandbuch für AWS Directory Service.

Zunächst erstellen Sie ein AWS Managed Microsoft AD-Verzeichnis, um Benutzeranmeldeinformationen zu speichern. Anschließend stellen Sie Ihrem PostgreSQL-DB-Cluster die Active Directory Domain und weitere Informationen zur Verfügung. Wenn Benutzer sich mit PostgreSQL-DB-Clustern authentifizieren, werden Authentifizierungsanforderungen an das AWS Managed Microsoft AD-Verzeichnis weitergeleitet.

Wenn Sie alle Ihre Anmeldeinformationen im selben Verzeichnis aufbewahren, können Sie Zeit und Mühe sparen. Sie haben einen zentralen Ort für die Speicherung und Verwaltung von Anmeldeinformationen für mehrere DB-Cluster. Die Verwendung eines Verzeichnisses kann auch Ihr allgemeines Sicherheitsprofil verbessern.

Außerdem können Sie von Ihrem eigenen On-Premises Microsoft Active Directory auf Anmeldeinformationen zugreifen. Dazu erstellen Sie eine vertrauensvolle Domain-Beziehung, damit das AWS Managed Microsoft AD-Verzeichnis Ihrem On-Premises Microsoft Active Directory vertraut. Auf diese Weise können Ihre Benutzer auf Ihre PostgreSQL-Clusters- mit derselben Windows Single Sign-On-Oberfläche (SSO) zugreifen, die sie auch für den Zugriff auf Workloads in Ihrem lokalen Netzwerk verwenden.

Eine Datenbank kann Kerberos, AWS Identity and Access Management (IAM) oder sowohl Kerberos- als auch IAM-Authentifizierung nutzen. Da die Kerberos- und IAM-Authentifizierung jedoch unterschiedliche Authentifizierungsmethoden bereitstellen, kann sich ein bestimmter Datenbankbenutzer nur mit der einen oder anderen Authentifizierungsmethode bei einer Datenbank anmelden, jedoch nicht mit beiden. Weitere Informationen zur IAM-Authentifizierung finden Sie unter IAM-Datenbankauthentifizierung.

Themen

Verfügbarkeit von Regionen und Versionen

Die Verfügbarkeit von Funktionen und der Support variieren zwischen bestimmten Versionen der einzelnen Datenbank-Engines und in allen AWS-Regionen. Weitere Informationen über die Verfügbarkeit von Versionen und Regionen von Aurora PostgreSQL mit Kerberos-Authentifizierung finden Sie unter Kerberos-Authentifizierung mit Aurora PostgreSQL.

Übersicht über die Kerberos-Authentifizierung für PostgreSQL-DB-Cluster

Um die Kerberos-Authentifizierung für PostgreSQL-DB-Cluster einzurichten, führen Sie die folgenden Schritte aus, die später näher erläutert werden:

  1. Verwenden Sie AWS Managed Microsoft AD zum Erstellen eines AWS Managed Microsoft AD-Verzeichnisses. Zur Erstellung des Verzeichnisses können Sie die AWS Management Console, die AWS CLI oder die AWS Directory Service-API verwenden. Stellen Sie sicher, dass Sie die relevanten ausgehenden Ports in der Verzeichnissicherheitsgruppe öffnen, damit das Verzeichnis mit der kommunizieren kann.

  2. Erstellen Sie eine Rolle, die Amazon Aurora Zugriff für Aufrufe in Ihr AWS Managed Microsoft AD-Verzeichnis bereitstellt. Erstellen Sie dazu eine AWS Identity and Access Management-(IAM)-Rolle, die die verwaltete IAM-Richtlinie AmazonRDSDirectoryServiceAccess verwendet.

    Damit die IAM-Rolle den Zugriff zulässt, muss der Endpunkt AWS Security Token Service (AWS STS) in der richtigen AWS-Region für Ihr AWS-Konto aktiviert werden. AWS STS-Endpunkte sind standardmäßig in allen AWS-Regionen aktiviert und Sie können sie ohne weitere Aktionen verwenden. Weitere Informationen finden Sie unter AWS STS in einer AWS-Region aktivieren und deaktivieren im IAM-Benutzerhandbuch.

  3. Erstellen und konfigurieren Sie Benutzer im Verzeichnis AWS Managed Microsoft AD mithilfe der Tools aus dem Microsoft Active Directory. Weitere Informationen zum Erstellen von Benutzern in Ihrem Active Directory finden Sie unter Verwalten von Benutzern und Gruppen in AWS Managed Microsoft AD im AWS Directory Service Administration Guide.

  4. Wenn Sie planen, das Verzeichnis und die DB-Instance in verschiedenen AWS-Konten oder Virtual Private Clouds (VPCs) zu platzieren, konfigurieren Sie VPC-Peering. Weitere Informationen finden Sie unter Was ist VPC Peering? im Amazon VPC Peering Guide.

  5. Erstellen oder ändern Sie PostgreSQL-DB-Cluster entweder über die Konsole, CLI oder RDS-API mit einer der folgenden Methoden:

    Sie können die Cluster- in derselben Amazon Virtual Private Cloud (VPC) wie das Verzeichnis oder in einem anderen AWS-Konto oder einer anderen VPC finden. Wenn Sie die PostgreSQL-DB- erstellen oder ändern, gehen Sie wie folgt vor:

    • Geben Sie den Domänenbezeichner (d-*-Bezeichner) an, der beim Erstellen Ihres Verzeichnisses generiert wurde.

    • Geben Sie außerdem den Namen der IAM-Rolle an, die Sie erstellt haben.

    • Stellen Sie sicher, dass die Sicherheitsgruppe der DB-Instance eingehenden Datenverkehr von der Sicherheitsgruppe des Verzeichnisses empfangen kann.

  6. Verwenden Sie die RDS-Master-Benutzer-Anmeldeinformationen, um sich mit PostgreSQL-DB-Clustern zu verbinden. Erstellen Sie den Benutzer in PostgreSQL, der extern identifiziert werden soll. Extern identifizierte Benutzer können sich über die Kerberos-Authentifizierung bei der PostgreSQL-DB- anmelden.