Datenbankauthentifizierung mit Amazon RDS - Amazon Relational Database Service

Datenbankauthentifizierung mit Amazon RDS

Amazon RDS unterstützt verschiedene Möglichkeiten, Datenbankbenutzer zu authentifizieren.

Passwort-, Kerberos- und IAM-Datenbank-Authentifizierung verwenden verschiedene Methoden zur Authentifizierung bei der Datenbank. Daher kann sich ein bestimmter Benutzer mit nur einer einzigen Authentifizierungsmethode bei einer Datenbank anmelden.

Verwenden Sie für PostgreSQL nur eine der folgenden Rolleneinstellungen für einen Benutzer einer bestimmten Datenbank:

  • Um die IAM-Datenbank-Authentifizierung zu verwenden, weisen Sie die rds_iam-Rolle dem Benutzer zu.

  • Um Kerberos-Authentifizierung zu verwenden, weisen Sie die rds_ad-Rolle dem Benutzer zu.

  • Um die Passwort-Authentifizierung zu verwenden, weisen Sie keine der beiden rds_iam- oder rds_ad- Rollen dem Benutzer zu.

Weisen Sie nicht beide Rollen rds_iam und rds_ad einem Benutzer einer PostgreSQL-Datenbank zu, weder direkt noch indirekt durch verschachtelten gewährtem Zugriff. Wenn die rds_iam-Rolle dem Hauptbenutzer hinzugefügt wird, hat die IAM-Authentifizierung Vorrang vor der Passwort-Authentifizierung, so dass sich der Hauptbenutzer als IAM-Benutzer anmelden muss.

Passwortauthentifizierung

Mit der Passwortauthentifizierung führt Ihre DB-Instance die gesamte Verwaltung von Benutzerkonten durch. Sie erstellen Benutzer mit SQL-Anweisungen wie CREATE USER, mit der entsprechenden Klausel, die von der DB-Engine zum Angeben von Kennwörtern benötigt wird. In MySQL lautet die Anweisung beispielsweise CREATE USER-Name IDENTIFIED BY-Passwort, während die Anweisung in PostgreSQL CREATE USER-Name WITH PASSWORD-Passwort ist.

Mit der Passwortauthentifizierung steuert und authentifiziert Ihre Datenbank Benutzerkonten. Wenn eine DB-Engine über starke Passwortverwaltungsfunktionen verfügt, können diese die Sicherheit erhöhen. Die Datenbankauthentifizierung ist möglicherweise einfacher mit der Passwortauthentifizierung zu verwalten, wenn Sie kleine Benutzergemeinschaften haben. Da in diesem Fall Klartext-Passwörter generiert werden, kann die Integration mit AWS Secrets Manager die Sicherheit erhöhen.

Weitere Informationen zur Verwendung von Secrets Manager mit Amazon RDS finden Sie unter Erstellen eines Basis-Secrets und Rotations-Secrets für unterstützte Amazon-RDS-Datenbanken im AWS Secrets Manager-Benutzerhandbuch. Informationen zum programmgesteuerten Abrufen Ihrer Secrets in Ihren benutzerdefinierten Anwendungen finden Sie unter Abrufen des Secret-Werts im AWS Secrets Manager-Benutzerhandbuch.

IAM-Datenbankauthentifizierung

Sie können sich mit der AWS Identity and Access Management-(IAM)-Datenbankauthentifizierung bei Ihrem DB-Instance- authentifizieren. IAM-Datenbankauthentifizierung funktioniert mit MySQL und PostgreSQL. Mit dieser Authentifizierungsmethode benötigen Sie kein Passwort, um eine Verbindung mit einer DB-Instance herzustellen. Stattdessen verwenden Sie ein Authentifizierungstoken.

Weitere Informationen zur IAM-Datenbankauthentifizierung, einschließlich Informationen zur Verfügbarkeit bestimmter DB-Engines, finden Sie unter IAM-Datenbankauthentifizierung für MariaDB, MySQL und PostgreSQL.

Kerberos-Authentifizierung

Amazon RDS unterstützt die externe Authentifizierung von Datenbankbenutzern über Kerberos und Microsoft Active Directory. Kerberos ist ein Netzwerk-Authentifizierungsprotokoll, das Tickets und symmetrische Schlüsselkryptographie verwendet, um die Notwendigkeit der Übertragung von Passwörtern über das Netzwerk zu vermeiden. Kerberos wurde in Active Directory integriert und wurde entwickelt, um Benutzer gegenüber Netzwerkressourcen wie Datenbanken zu authentifizieren.

Die Amazon RDS-Unterstützung für Kerberos und Active Directory bietet die Vorteile des Single Sign-Ons und der zentralisierten Authentifizierung von Datenbankbenutzern. Sie können Ihre Benutzeranmeldeinformationen in Active Directory speichern. Active Directory bietet einen zentralen Ort für die Speicherung und Verwaltung von Anmeldeinformationen für mehrere DB-Instances.

Sie können Ihren Datenbankbenutzern die Authentifizierung bei DB-Instances auf zwei Arten ermöglichen. Sie können Anmeldeinformationen verwenden, die entweder in AWS Directory Service for Microsoft Active Directory oder in Ihrem lokalen Active Directory gespeichert sind.

Microsoft SQL Server-, MySQL- und PostgreSQL-DB-Instances unterstützen ein- und bidirektionale gesamtstrukturbasierte Vertrauensstellungen. Oracle-DB-Instances unterstützen ein- und bidirektionale externe und gesamtstrukturbasierte Vertrauensstellungen. Weitere Informationen finden Sie unter Zeitpunkt zum Erstellen einer Vertrauensstellung im AWS Directory Service-Administrationshandbuch.

Informationen zur Kerberos-Authentifizierung mit einer bestimmten Engine finden Sie im Folgenden:

Anmerkung

Derzeit wird die Kerberos-Authentifizierung für MariaDB DB-Instances nicht unterstützt.