Datenbankauthentifizierung mit Amazon RDS - Amazon Relational Database Service

Datenbankauthentifizierung mit Amazon RDS

Amazon RDS unterstützt verschiedene Möglichkeiten, Datenbankbenutzer zu authentifizieren.

Passwortauthentifizierung

Mit der Passwortauthentifizierung führt Ihre DB-Instance die gesamte Verwaltung von Benutzerkonten durch. Sie erstellen Benutzer mit SQL-Anweisungen wie CREATE USER und geben Passwörter in der IDENTIFIED BY-Klausel an.

Alle RDS DB-Engines unterstützen die Passwortauthentifizierung. Weitere Informationen zur Passwortauthentifizierung finden Sie in der Dokumentation für Ihre DB-Engine.

Mit der Passwortauthentifizierung steuert und authentifiziert Ihre Datenbank Benutzerkonten. Wenn eine DB-Engine über starke Passwortverwaltungsfunktionen verfügt, können diese die Sicherheit erhöhen. Die Datenbankauthentifizierung ist möglicherweise einfacher mit der Passwortauthentifizierung zu verwalten, wenn Sie kleine Benutzergemeinschaften haben. Da in diesem Fall Klartext-Passwörter generiert werden, kann die Integration mit AWS Secrets Manager die Sicherheit erhöhen.

Weitere Informationen zur Verwendung von Secrets Manager mit Amazon RDS finden Sie unter Erstellen eines Basis-Secrets und Rotations-Secrets für unterstützte Amazon RDS-Datenbanken im AWS Secrets Manager-Benutzerhandbuch. Informationen zum programmgesteuerten Abrufen Ihrer Secrets in Ihren benutzerdefinierten Anwendungen finden Sie unter Abrufen des Secret-Werts im AWS Secrets Manager-Benutzerhandbuch.

IAM-Datenbankauthentifizierung

Mit der AWS Identity and Access Management (IAM)-Datenbankauthentifizierung können Sie Ihre DB-Instance authentifizieren. Die IAM-Datenbankauthentifizierung ist mit MySQL und PostgreSQL möglich. Mit dieser Authentifizierungsmethode benötigen Sie kein Passwort, um eine Verbindung mit einer DB-Instance herzustellen. Stattdessen verwenden Sie ein Authentifizierungstoken.

Weitere Informationen zur IAM-Datenbankauthentifizierung, einschließlich Informationen zur Verfügbarkeit bestimmter DB-Engines, finden Sie unter IAM-Datenbankauthentifizierung für MySQL und PostgreSQL.

Kerberos-Authentifizierung

Amazon RDS unterstützt die externe Authentifizierung von Datenbankbenutzern über Kerberos und Microsoft Active Directory. Kerberos ist ein Netzwerk-Authentifizierungsprotokoll, das Tickets und symmetrische Schlüsselkryptographie verwendet, um die Notwendigkeit der Übertragung von Passwörtern über das Netzwerk zu vermeiden. Kerberos wurde in Active Directory integriert und wurde entwickelt, um Benutzer gegenüber Netzwerkressourcen wie Datenbanken zu authentifizieren.

Die Amazon RDS-Unterstützung für Kerberos und Active Directory bietet die Vorteile des Single Sign-Ons und der zentralisierten Authentifizierung von Datenbankbenutzern. Sie können Ihre Benutzeranmeldeinformationen in Active Directory speichern. Active Directory bietet einen zentralen Ort für die Speicherung und Verwaltung von Anmeldeinformationen für mehrere DB-Instances.

Sie können Ihren Datenbankbenutzern die Authentifizierung bei DB-Instances auf zwei Arten ermöglichen. Sie können Anmeldeinformationen verwenden, die entweder in AWS Directory Service for Microsoft Active Directory oder in Ihrem lokalen Active Directory gespeichert sind.

Microsoft SQL Server-, MySQL- und PostgreSQL-DB-Instances unterstützen ein- und bidirektionale gesamtstrukturbasierte Vertrauensstellungen. Oracle-DB-Instances unterstützen ein- und bidirektionale externe und gesamtstrukturbasierte Vertrauensstellungen. Weitere Informationen finden Sie unter Zeitpunkt zum Erstellen einer Vertrauensstellung im AWS Directory Service-Administrationshandbuch.

Informationen zur Kerberos-Authentifizierung mit einer bestimmten Engine finden Sie im Folgenden:

Anmerkung

Derzeit wird die Kerberos-Authentifizierung für MariaDB DB-Instances nicht unterstützt.