Verwenden der Kerberos-Authentifizierung für MySQL - Amazon Relational Database Service

Verwenden der Kerberos-Authentifizierung für MySQL

Sie können die Kerberos-Authentifizierung verwenden, um Benutzer zu authentifizieren, wenn sie sich mit Ihrer MySQL-DB-Instance verbinden. Die DB-Instance arbeitet mit AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD), um die Kerberos-Authentifizierung zu unterstützen. Wenn Benutzer sich mit einer MySQL-DB-Instance authentifizieren, die mit der vertrauenswürdigen Domäne verbunden ist, werden Authentifizierungsanfragen weitergeleitet. Weitergeleitete Anfragen gehen an das Domänenverzeichnis, das Sie mit erstelle AWS Directory Service.

Wenn Sie alle Ihre Anmeldeinformationen im selben Verzeichnis aufbewahren, können Sie Zeit und Mühe sparen. Mit diesem Ansatz haben Sie einen zentralen Ort für die Speicherung und Verwaltung von Anmeldedaten für mehrere DB-Instances. Die Verwendung eines Verzeichnisses kann auch Ihr allgemeines Sicherheitsprofil verbessern.

Amazon RDS unterstützt die Kerberos-Authentifizierung für MySQL-DB-Instances in den folgenden AWS-Regionen:

  • US East (Ohio)

  • USA Ost (Nord-Virginia)

  • USA West (Nordkalifornien)

  • USA West (Oregon)

  • Asia Pacific (Mumbai)

  • Asia Pacific (Seoul)

  • Asien-Pazifik (Singapur)

  • Asien-Pazifik (Sydney)

  • Asien-Pazifik (Tokio)

  • Canada (Central)

  • Europe (Frankfurt)

  • Europa (Irland)

  • Europe (London)

  • Europe (Stockholm)

  • Südamerika (São Paulo)

  • China (Beijing)

  • China (Ningxia)

Um die Kerberos-Authentifizierung für eine MySQL-DB-Instance einzurichten, führen Sie die folgenden allgemeinen Schritte aus, die später näher beschrieben werden:

  1. Verwenden Sie AWS Managed Microsoft AD zum Erstellen eines AWS Managed Microsoft AD-Verzeichnisses. Zur Erstellung des Verzeichnisses können Sie AWS Management Console, AWS CLI oder AWS Directory Service verwenden. Einzelheiten dazu finden Sie unter Erstellen Ihres AWS Managed Microsoft AD-Verzeichnisses im AWS Directory Service-Administratorhandbuch.

  2. Erstellen Sie eine AWS Identity and Access Management-(IAM)-Rolle, die die verwaltete IAM-Richtlinie AmazonRDSDirectoryServiceAccess verwendet. Die Rolle erlaubt, dass Amazon RDS Aufrufe an Ihr Verzeichnis schickt.

    Um mit der Rolle Zugriff zu gewähren, muss der AWS Security Token Service (AWS STS)-Endpunkt in der AWS-Region für Ihr AWS-Konto aktiviert sein. AWS STS-Endpunkte sind standardmäßig in allen AWS-Regionen aktiv und Sie können sie ohne weitere Maßnahmen nutzen. Weitere Informationen finden Sie unter AWS STS in einer AWS-Region aktivieren und deaktivieren im IAM-Benutzerhandbuch.

  3. Erstellen und konfigurieren Sie Benutzer im Verzeichnis AWS Managed Microsoft AD mithilfe der Tools aus dem Microsoft Active Directory. Weitere Informationen zum Erstellen von Benutzern in Ihrem Active Directory finden Sie unter Verwalten von Benutzern und Gruppen in AWS Managed Microsoft AD im AWS Directory Service Administrationshandbuch.

  4. Erstellen oder ändern Sie eine MySQL DB-Instance. Wenn Sie entweder die CLI oder die RDS-API für die Erstellungsanforderung verwenden, geben Sie eine Domänen-ID mit dem Parameter Domain an. Verwenden Sie die d-*-ID, die bei der Erstellung Ihres Verzeichnisses generiert wurde, und den Namen der von Ihnen erstellten Rolle.

    Wenn Sie eine vorhandene MySQL-DB-Instance so ändern, dass sie die Kerberos-Authentifizierung verwendet, legen Sie die Parameter für die Domäne und die IAM-Rolle für die DB-Instance fest. Suchen Sie die DB-Instance in derselben VPC wie das Domänenverzeichnis.

  5. Verwenden Sie die Amazon RDS-Hauptbenutzer-Anmeldeinformationen, um sich mit der MySQL-DB-Instance zu verbinden. Erstellen Sie den Benutzer unter Verwendung der CREATE USER-Klausel IDENTIFIED WITH 'auth_pam' in MySQL. Benutzer, die Sie auf diese Weise anlegen, können sich mit der Kerberos-Authentifizierung an der MySQL-DB-Instance anmelden.

Einrichten der Kerberos-Authentifizierung für MySQL-DB-Instances

Sie verwenden AWS Managed Microsoft AD, um die Kerberos-Authentifizierung für eine MySQL-DB-Instance einzurichten. Um die Kerberos-Authentifizierung einzurichten, führen Sie die folgenden Schritte durch.

Schritt 1: Erstellen eines Verzeichnisses mit AWS Managed Microsoft AD

AWS Directory Service erstellt ein vollständig verwaltetes Active Directory in der AWS Cloud. Wenn Sie ein AWS Managed Microsoft AD-Verzeichnis erstellen, erstellt AWS Directory Service zwei Domänencontroller und DNS-Server (Domain Name System) in Ihrem Namen. Die Verzeichnisserver werden in verschiedenen Subnetzen in einer VPC erstellt. Diese Redundanz trägt dazu bei, dass Ihr Verzeichnis auch im Fehlerfall erreichbar bleibt.

Wenn Sie ein AWS Managed Microsoft AD-Verzeichnis erstellen, führt AWS Directory Service die folgenden Aufgaben in Ihrem Namen aus:

  • Einrichten eines Active Directory innerhalb der VPC.

  • Erstellt ein Verzeichnisadministratorkonto mit dem Benutzernamen Admin und dem angegebenen Passwort. Mit diesem Konto verwalten Sie das Verzeichnis.

    Anmerkung

    Stellen Sie sicher, dass Sie dieses Passwort speichern. AWS Directory Service speichert es nicht. Sie können es zurücksetzen, aber Sie können es nicht abrufen.

  • Erstellt eine Sicherheitsgruppe für die Verzeichniscontroller.

Wenn Sie AWS Managed Microsoft AD starten, erstellt AWS eine Organisationseinheit (OU), die alle Objekte Ihres Verzeichnisses enthält. Diese OU hat den NetBIOS-Namen, den Sie bei der Erstellung Ihres Verzeichnisses angegeben haben. Sie befindet sich im Domänenstamm. Der Domänenstamm ist im Besitz von und wird von diesem verwalte AWS.

Das Admin-Konto, das mit Ihrem AWS Managed Microsoft AD-Verzeichnis erstellt wurde, verfügt über Berechtigungen für die gängigsten administrativen Aktivitäten für Ihre OU:

  • Erstellen, Aktualisieren oder Löschen von Benutzern

  • Hinzufügen von Ressourcen zu Ihrer Domäne, etwa Datei- oder Druckserver, und anschließendes Gewähren der zugehörigen Ressourcenberechtigungen für Benutzer in der OU

  • Erstellen weiterer OUs und Container

  • Delegieren von Befugnissen

  • Wiederherstellen von gelöschten Objekten aus dem Active Directory-Papierkorb

  • Ausführen von AD- und DNS-Modulen von Windows PowerShell im Active Directory Web Service

Das Admin-Konto hat außerdem die Rechte zur Durchführung der folgenden domänenweiten Aktivitäten:

  • Verwalten von DNS-Konfigurationen (Hinzufügen, Entfernen oder Aktualisieren von Datensätzen, Zonen und Weiterleitungen)

  • Aufrufen von DNS-Ereignisprotokollen

  • Anzeigen von Sicherheitsereignisprotokollen

So erstellen Sie ein Verzeichnisses mit AWS Managed Microsoft AD

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Directory Service-Konsole unter https://console.aws.amazon.com/directoryservicev2/.

  2. Wählen Sie im Navigationsbereich Directories (Verzeichnisse) aus. Wählen Sie denn Set up Directory (Verzeichnis einrichten) aus.

  3. Wählen Sie AWS Managed Microsoft AD aus. AWS Managed Microsoft AD ist die einzige Option, die Sie derzeit mit Amazon RDS verwenden können.

  4. Geben Sie die folgenden Informationen ein:

    DNS-Name des Verzeichnisses

    Den vollständig qualifizierten Namen für das Verzeichnis, z. B. corp.example.com.

    NetBIOS-Name des Verzeichnisses

    Die kurzen Namen für das Verzeichnis, z. B. CORP.

    Verzeichnisbeschreibung

    (Optional) Eine Beschreibung für das Verzeichnis.

    Administratorpasswort

    Das Passwort für den Verzeichnisadministrator. Während des Verzeichniserstellungsprozesses wird ein Administratorkonto mit dem Benutzernamen Admin und diesem Passwort angelegt.

    Das Passwort für den Verzeichnisadministrator das nicht das Wort "admin" enthalten. Beachten Sie beim Passwort die Groß- und Kleinschreibung und es muss 8 bis 64 Zeichen lang sein. Zudem muss es mindestens ein Zeichen aus dreien der vier folgenden Kategorien enthalten:

    • Kleinbuchstaben (a–z)

    • Großbuchstaben (A–Z)

    • Zahlen (0–9)

    • Nicht-alphanumerische Zeichen (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Passwort bestätigen

    Das Administratorpasswort, das erneut eingegeben wurde.

  5. Wählen Sie Next.

  6. Geben Sie die folgenden Informationen in den Abschnitt Networking ein. Wählen Sie dann Next (Weiter) aus:

    VPC

    Die VPC für das Verzeichnis. Erstellen Sie die MySQL-DB-Instance in derselben VPC.

    Subnetze

    Subnetze für die Verzeichnisserver. Die beiden Subnetze müssen zu verschiedenen Availability-Zonen gehören.

  7. Prüfen Sie die Verzeichnisinformationen und nehmen Sie ggf. Änderungen vor. Wenn die Informationen richtig sind, wählen Sie Create directory (Verzeichnis erstellen).

    
              Verzeichnis-Detailseite während der Erstellung

Es dauert einige Minuten, bis das Verzeichnis erstellt wurde. Wenn es erfolgreich erstellt wurde, ändert sich der Wert Status in Active (Aktiv).

Um Informationen über Ihr Verzeichnis anzuzeigen, wählen Sie den Verzeichnisnamen in der Verzeichnisliste aus. Beachten Sie den Wert Directory ID (Verzeichnis-ID). Sie benötigen diesen Wert, wenn Sie Ihre MySQL-DB-Instance erstellen oder ändern.


          Seite „Directory details (Verzeichnisdetails)“

Schritt 2: Erstellen der IAM-Rolle für die Verwendung durch Amazon RDS

Damit Amazon RDS AWS Directory Service für Sie aufrufen kann, ist eine IAM-Rolle erforderlich, die die verwaltete IAM-Richtlinie AmazonRDSDirectoryServiceAccess verwendet. Diese Rolle ermöglicht es Amazon RDS, Aufrufe von AWS Directory Service durchzuführen.

Wenn eine DB-Instance mit der AWS Management Console erstellt wird und der Konsolenbenutzer über die Berechtigung iam:CreateRole verfügt, erstellt die Konsole diese Rolle automatisch. In diesem Fall lautet der Rollenname rds-directoryservice-kerberos-access-role. Andernfalls müssen Sie die IAM-Rolle manuell erstellen. Wenn Sie diese IAM-Rolle erstellen, wählen Sie Directory Service, und hängen die von AWS verwaltete Richtlinie AmazonRDSDirectoryServiceAccess an.

Weitere Informationen über das Erstellen von IAM-Rollen für einen Service finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service im IAM-Benutzerhandbuch.

Anmerkung

Die für die Windows-Authentifizierung für RDS for Microsoft SQL Server verwendete IAM-Rolle kann nicht für RDS for MySQL verwendet werden.

Optional können Sie Richtlinien mit den erforderlichen Berechtigungen erstellen, anstatt die verwaltete IAM-Richtlinie zu verwende AmazonRDSDirectoryServiceAccess. In diesem Fall muss die IAM-Rolle die folgende IAM-Vertrauensrichtlinie haben.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": [ "directoryservice.rds.amazonaws.com", "rds.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }

Die Rolle muss auch über die folgende IAM-Rollenrichtlinie verfügen.

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ds:DescribeDirectories", "ds:AuthorizeApplication", "ds:UnauthorizeApplication", "ds:GetAuthorizedApplicationDetails" ], "Effect": "Allow", "Resource": "*" } ] }

Schritt 3: Anlegen und konfigurieren von Benutzern

Sie können Benutzer mit dem Tool "Active Directory-Benutzer und -Computer" erstellen. Dieses Tool ist Teil der Tools Active Directory Domain Services und Active Directory Lightweight Directory Services. „Benutzer“ sind Einzelpersonen oder Entitäten, die Zugriff auf Ihr Verzeichnis haben.

Um Benutzer in einem AWS Directory Service-Verzeichnis zu erstellen, müssen Sie mit einer Amazon-EC2-Instance auf der Basis von Microsoft Windows verbunden sein. Diese Instance muss ein Mitglied des AWS Directory Service-Verzeichnisses sein und als ein Benutzer mit den Berechtigungen zum Erstellen von Benutzern angemeldet sein. Weitere Informationen finden Sie unter Verwalten von Benutzern und GruppenAWS Managed Microsoft AD imAWS Directory-Service-Administrationshandbuch.

Schritt 4: Erstellen oder Ändern einer MySQL-DB-Instance

Erstellen oder ändern Sie eine MySQL-DB-Instance zur Verwendung mit Ihrem Verzeichnis. Sie können die Konsole, CLI oder RDS-API verwenden, um eine DB-Instance einem Verzeichnis zuzuordnen. Sie können dafür eine der folgenden Möglichkeiten auswählen:

Die Kerberos-Authentifizierung wird nur für MySQL-DB-Instances in einer VPC unterstützt. Die DB-Instance kann sich in derselben VPC wie das Verzeichnis oder in einer anderen VPC befinden. Die DB-Instance muss eine Sicherheitsgruppe verwenden, die ausgehenden Datenverkehr innerhalb der VPC des Verzeichnisses ermöglicht, damit die DB-Instance mit dem Verzeichnis kommunizieren kann.

Wenn Sie die Konsole verwenden, um eine DB-Instance zu erstellen, wählen Sie im Abschnitt Datenbankauthentifizierung die Option Passwort- und Kerberos-Authentifizierung aus. Wählen Sie Verzeichnis durchsuchen und dann das Verzeichnis aus, oder klicken Sie auf Neues Verzeichnis erstellen.


          Kerberos-Authentifizierungseinstellung beim Erstellen einer DB-Instance

Wenn Sie die Konsole zum Ändern oder Wiederherstellen einer DB-Instance verwenden, wählen Sie das Verzeichnis im Abschnitt Kerberos-Authentifizierung oder Neues Verzeichnis erstellen aus.


          Kerberos-Authentifizierungseinstellung beim Ändern oder Wiederherstellen einer DB-Instance

Verwenden Sie die CLI oder RDS-API, um eine DB-Instance mit einem Verzeichnis zu verknüpfen. Die folgenden Parameter sind erforderlich, damit die DB-Instance das von Ihnen erstellte Domänenverzeichnis verwenden kann:

  • Für den --domain-Parameter verwenden Sie den Domänenbezeichner („d-*“-Bezeichner), der beim Erstellen des Verzeichnisses generiert wurde.

  • Verwenden Sie für den --domain-iam-role-name-Parameter die von Ihnen erstellte Rolle, die die verwaltete IAM-Richtlinie AmazonRDSDirectoryServiceAccess verwendet.

Beispielsweise ändert der folgende CLI-Befehl eine DB-Instance zur Verwendung eines Verzeichnisses.

Für Linux, macOS oder Unix:

aws rds modify-db-instance \ --db-instance-identifier mydbinstance \ --domain d-ID \ --domain-iam-role-name role-name

Für Windows:

aws rds modify-db-instance ^ --db-instance-identifier mydbinstance ^ --domain d-ID ^ --domain-iam-role-name role-name
Wichtig

Wenn Sie eine DB-Instance zur Aktivierung der Kerberos-Authentifizierung ändern, starten Sie die DB-Instance neu, nachdem Sie die Änderung vorgenommen haben.

Schritt 5: Erstellen von MySQL-Anmeldeinformationen für die Kerberos-Authentifizierung

Verwenden Sie die Amazon RDS-Hauptbenutzer-Anmeldeinformationen, um sich mit der MySQL-DB-Instance wie mit jeder anderen DB-Instance zu verbinden. Die DB-Instance ist der AWS Managed Microsoft AD-Domäne beigetreten. Auf diese Weise können Sie MySQL-Anmeldenamen und -Benutzer aus den Active Directory-Benutzern Ihrer Domäne bereitstellen. Die Datenbankberechtigungen werden durch Standard-MySQL-Berechtigungen verwaltet, die diesen Anmeldeinformationen gewährt und entzogen werden.

Sie können einem Active Directory-Benutzer erlauben, sich bei MySQL zu authentifizieren. Dazu verwenden Sie zunächst die Amazon RDS-Hauptbenutzer-Anmeldeinformationen, um sich mit der MySQL-DB-Instance wie mit jeder anderen DB-Instance zu verbinden. Nachdem Sie sich angemeldet haben, erstellen Sie einen extern authentifizierten Benutzer mit PAM (Pluggable Authentication Modules) in MySQL wie folgt.

CREATE USER 'testuser'@'%' IDENTIFIED WITH 'auth_pam';

Ersetzen Sie testuser durch den Benutzernamen. Benutzer (sowohl Menschen als auch Anwendungen) aus Ihrer Domäne können sich nun von einem mit der Domäne verbundenen Client-Rechner aus mit Hilfe der Kerberos-Authentifizierung mit der DB-Instance verbinden.

Wichtig

Es wird dringend empfohlen, dass Clients SSL/TLS-Verbindungen verwenden, wenn die PAM-Authentifizierung verwendet wird. Wenn sie keine SSL/TLS-Verbindungen verwenden, wird das Passwort in einigen Fällen möglicherweise als Klartext gesendet. Führen Sie den folgenden Befehl aus, um eine SSL/TLS-verschlüsselte Verbindung für Ihren AD-Benutzer zu benötigen:

UPDATE mysql.user SET ssl_type = 'any' WHERE ssl_type = '' AND PLUGIN = 'auth_pam' and USER = 'testuser'; FLUSH PRIVILEGES;

Weitere Informationen finden Sie unter Verwenden von SSL mit einer MySQL DB-Instance.

Verwalten einer DB-Instance in einer Domäne

Sie können die CLI oder die RDS-API verwenden, um Ihre DB-Instance und ihre Beziehung zu Ihrem verwalteten Active Directory zu verwalten. Sie können z. B. ein Active Directory für die Kerberos-Authentifizierung zuordnen und ein Active Directory trennen, um die Kerberos-Authentifizierung zu deaktivieren. Sie können auch eine DB-Instance, die extern von einem Active Directory authentifiziert werden soll, in ein anderes Active Directory verschieben.

Sie können z. B. mithilfe der Amazon RDS-API Folgendes tun:

  • Um erneut zu versuchen, die Kerberos-Authentifizierung für eine fehlgeschlagene Mitgliedschaft zu aktivieren, verwenden Sie die ModifyDBInstance API-Operation und geben Sie die Verzeichnis-ID der aktuellen Mitgliedschaft an.

  • Um den IAM-Rollennamen für die Mitgliedschaft zu aktualisieren, verwenden Sie die ModifyDBInstance-API-Operation und geben Sie die Verzeichnis-ID der aktuellen Mitgliedschaft und die neue IAM-Rolle an.

  • Um die Kerberos-Authentifizierung in einer DB-Instance zu deaktivieren, verwenden Sie die ModifyDBInstance API-Operation. Geben Sie none als Domänenparameter an.

  • Um eine DB-Instance von einer Domäne in eine andere zu verschieben, verwenden Sie die ModifyDBInstance API-Operation. Geben Sie die Domänen-ID der neuen Domäne als Domänenparameter an.

  • Um die Mitgliedschaft für jede DB-Instance aufzulisten, verwenden Sie die DescribeDBInstances API-Operation.

Grundlegendes zur Domänenmitgliedschaft

Nachdem Sie Ihre DB-Instance erstellt oder geändert haben, wird sie Mitglied der Domäne. Sie können den Status der Domänenmitgliedschaft für die DB-Instance anzeigen, indem Sie den CLI-Befehl describe-db-instances verwenden. Der Status der DB-Instance kann einer der folgenden sein:

  • kerberos-enabled – Für die DB-Instance ist die Kerberos-Authentifizierung aktiviert.

  • enabling-kerberos – AWS ist dabei, die Kerberos-Authentifizierung auf dieser DB-Instance zu aktivieren.

  • pending-enable-kerberos – Die Aktivierung der Kerberos-Authentifizierung in dieser DB-Instance steht aus.

  • pending-maintenance-enable-kerberos – AWS versucht, die Kerberos-Authentifizierung auf der DB-Instance während des nächsten geplanten Wartungsfensters zu aktivieren.

  • pending-disable-kerberos – Die Deaktivierung der Kerberos-Authentifizierung in dieser DB-Instance steht aus.

  • pending-maintenance-disable-kerberos – AWS versucht, die Kerberos-Authentifizierung auf der DB-Instance während des nächsten geplanten Wartungsfensters zu deaktivieren.

  • enable-kerberos-failed – Ein Konfigurationsproblem hat AWS daran gehindert, die Kerberos-Authentifizierung auf der DB-Instance zu aktivieren. Überprüfen und korrigieren Sie Ihre Konfiguration, bevor Sie den Befehl zu Änderung der DB-Instance erneut ausführen.

  • disabling-kerberos – AWS ist dabei, die Kerberos-Authentifizierung auf dieser DB-Instance zu deaktivieren.

Eine Anfrage zur Aktivierung der Kerberos-Authentifizierung kann wegen eines Netzwerkverbindungsproblems oder einer falschen IAM-Rolle fehlschlagen. Angenommen, Sie erstellen eine DB-Instance oder ändern eine vorhandene DB-Instance und der Versuch, die Kerberos-Authentifizierung zu aktivieren, schlägt fehl. Wenn dies geschieht, führen Sie den Ändern-Befehl erneut aus oder ändern Sie die neu erstellte DB-Instance, um der Domäne beizutreten.

Verbindung zu MySQL mit Kerberos-Authentifizierung

Um eine Verbindung zu MySQL mit Kerberos-Authentifizierung herzustellen, müssen Sie sich mit dem Kerberos-Authentifizierungstyp anmelden.

Um einen Datenbankbenutzer zu erstellen, zu dem Sie eine Verbindung mit der Kerberos-Authentifizierung herstellen können, verwenden Sie eine IDENTIFIED WITH-Klausel in der CREATE USER-Anweisung. Detaillierte Anweisungen finden Sie unter Schritt 5: Erstellen von MySQL-Anmeldeinformationen für die Kerberos-Authentifizierung.

Um Fehler zu vermeiden, sollten Sie den MariaDB-mysql-Client verwenden. Sie können die MariaDB-Software unter https://downloads.mariadb.org/ herunterladen.

Stellen Sie über die Eingabeaufforderung eine Verbindung zu einem der Endpunkte her, die mit Ihrer MySQL-DB-Instance verbunden sind. Befolgen Sie die allgemeinen Verfahren in Verbinden mit einer DB-Instance, auf der die MySQL-Datenbank-Engine ausgeführt wird. Wenn Sie zur Eingabe des Passworts aufgefordert werden, geben Sie es mit diesem Benutzernamen verknüpfte Kerberos-Passwort ein.

Wiederherstellen einer MySQL-DB-Instance und Hinzufügen zu einer Domäne

Sie können einen DB-Snapshot wiederherstellen oder eine Point-in-Time-Wiederherstellung für eine MySQL-DB-Instance durchführen und sie dann einer Domäne hinzufügen. Nachdem die DB-Instance wiederhergestellt wurde, modifizieren Sie die DB-Instance mit dem in Schritt 4: Erstellen oder Ändern einer MySQL-DB-Instance erklärten Prozess, um die DB-Instance zu einer Domäne hinzuzufügen.

MySQL-Einschränkungen bei der Kerberos-Authentifizierung

Die folgenden Einschränkungen gelten für die Kerberos-Authentifizierung für MySQL:

  • Nur AWS Managed Microsoft AD wird unterstützt. Sie können jedoch RDS für MySQL DB-Instanzen zu gemeinsam genutzten verwalteten Microsoft AD-Domänen beitreten, die verschiedene Konten in derselbenAWSRegion :

  • Die Kerberos-Authentifizierung unterstützt die folgenden Amazon RDS for MySQL-Versionen:

    • Amazon RDS for MySQL-Version 8.0.13 und höhere 8.0-Versionen

    • Amazon RDS for MySQL-Version 5.7.24 und höhere 5.7-Versionen

  • Sie müssen die DB-Instance neu starten, nachdem Sie die Funktion aktiviert haben.

  • Die Länge des Domänennamens darf nicht länger als 61 Zeichen sein.

  • Sie können nicht gleichzeitig die Kerberos-Authentifizierung und die IAM-Authentifizierung aktivieren. Wählen Sie die eine oder die andere Authentifizierungsmethode für Ihre MySQL-DB-Instance aus.

  • Ändern Sie den DB-Instance-Port nicht, nachdem Sie die Funktion aktiviert haben.

  • Verwenden Sie keine Kerberos-Authentifizierung mit Lesereplikaten.

  • Wenn Sie das automatische Minor-Versions-Upgrade für eine MySQL DB-Instance aktiviert haben, die die Kerberos-Authentifizierung verwendet, müssen Sie die Kerberos-Authentifizierung deaktivieren und nach einem automatischen Upgrade wieder einschalten. Weitere Informationen zu kleineren automatischen Versionsaktualisierungen finden Sie unter Automatische Unterversion-Upgrades für MySQL.

  • Um eine DB-Instance bei aktivierter Funktion zu löschen, deaktivieren Sie zuerst die Funktion. Verwenden Sie dazu den CLI-Befehl modify-db-instance für die DB-Instance und geben Sie none für den Parameter --domain an.

    Wenn Sie die CLI oder die RDS-API verwenden, um eine DB-Instance bei aktivierter Funktion zu löschen, müssen Sie mit einer Verzögerung rechnen.