Uso de la autenticación Kerberos para Aurora MySQL

Puede usar la autenticación Kerberos para autenticar a los usuarios cuando estos se conecten a su clúster de base de datos de Aurora MySQL. Para ello, configure el clúster de base de datos para utilizar AWS Directory Service for Microsoft Active Directory para la autenticación Kerberos. AWS Directory Service for Microsoft Active Directorytambién se denomina AWS Managed Microsoft AD. Es una función disponible con AWS Directory Service. Para obtener más información, consulte ¿Qué esAWS Directory Service? en la Guía de administración de AWS Directory Service.

Para empezar, cree un directorio de AWS Managed Microsoft AD para almacenar las credenciales de usuario. A continuación, proporcione a su clúster de base de datos de Aurora MySQL el dominio de Active Directory y otra información. Cuando los usuarios se autentican con el clúster de base de datos de Aurora MySQL, las solicitudes de autenticación se reenvían al directorio AWS Managed Microsoft AD.

Mantener todas las credenciales en el mismo directorio puede ahorrarle tiempo y esfuerzo. Con este método, dispone de un lugar centralizado para almacenar y administrar credenciales de numerosos clústeres de bases de datos. El uso de un directorio también puede mejorar su perfil de seguridad general.

Además, puede acceder a las credenciales desde su propio Microsoft Active Directory en las instalaciones. Para ello, cree una relación de dominio de confianza para que el directorio de AWS Managed Microsoft AD confíe en su Microsoft Active Directory en las instalaciones. De esta manera, los usuarios pueden acceder a los clústeres de base de datos de Aurora MySQL con la misma experiencia de inicio de sesión único (SSO) de Windows que cuando acceden a cargas de trabajo de la red en las instalaciones.

Una base de datos puede usar la autenticación de Kerberos, de AWS Identity and Access Management (IAM), o ambas. Sin embargo, dado que la autenticación Kerberos y de IAM proporcionan diferentes métodos de autenticación, un usuario específico puede iniciar sesión en una base de datos con solo uno u otro método de autenticación, pero no ambos. Para obtener más información acerca de la autenticación IAM, consulte Autenticación de bases de datos de IAM .

Contenido

• Información general de la autenticación Kerberos para clústeres de base de datos de Aurora MySQL
• Limitaciones de la autenticación Kerberos para Aurora MySQL
• Configuración de la autenticación Kerberos para clústeres de base de datos de Aurora MySQL
  • Paso 1: crear un directorio con AWS Managed Microsoft AD
  • Paso 2: (opcional) crear una relación de confianza para un Active Directory en las instalaciones
  • Paso 3: crear un rol de IAM para que lo use Amazon Aurora
  • Paso 4: crear y configurar usuarios
  • Paso 5: crear o modificar un clúster de base de datos de Aurora MySQL
  • Paso 6: crear usuarios de Aurora MySQL que usen la autenticación Kerberos
    • Modificación de un inicio de sesión de Aurora MySQL existente
  • Paso 7: configurar un cliente MySQL
  • Paso 8: (opcional) configurar la comparación de nombres de usuario que no distinga mayúsculas de minúsculas
• Conexión a Aurora MySQL con autenticación Kerberos
  • Uso del inicio de sesión de Kerberos en Aurora MySQL para conectarse al clúster de base de datos
  • Autenticación Kerberos con bases de datos globales Aurora
  • Migración desde RDS para MySQL a Aurora MySQL
  • Evitar el almacenamiento en caché de tickets
  • Registro para la autenticación Kerberos
• Administración de un clúster de base de datos en un dominio
  • Descripción de la pertenencia a los dominios

Información general de la autenticación Kerberos para clústeres de base de datos de Aurora MySQL

Para configurar la autenticación Kerberos para un clúster de base de datos de Aurora MySQL, realice los siguientes pasos generales. Estos pasos se describen con más detalle más adelante.

1. Utilice AWS Managed Microsoft AD para crear un directorio de AWS Managed Microsoft AD. Puede utilizar la AWS Management Console, la AWS CLI o AWS Directory Service para crear el directorio. Para obtener más detalles, consulte Create your AWS Managed Microsoft AD directory (Creación de su directorio de AWS Managed Microsoft AD) en la Guía de administración de AWS Directory Service.

2. Cree un rol de AWS Identity and Access Management (IAM) que utilice la política de IAM administrada AmazonRDSDirectoryServiceAccess. El rol permite a Amazon Aurora realizar llamadas al directorio.

   Para que el rol permita el acceso, el punto de conexión AWS Security Token Service (AWS STS) debe activarse en la Región de AWS para su cuenta de AWS. Los puntos de conexión de AWS STS están activos de forma predeterminada en todas Regiones de AWS y puede usarlos sin ninguna acción posterior. Para obtener más información, consulte Activación y desactivación de AWS STS en una región de Región de AWS en la Guía del usuario de IAM.

3. Cree y configure usuarios en el directorio de AWS Managed Microsoft AD usando las herramientas de Microsoft Active Directory. Para obtener más información sobre la creación de usuarios en su Active Directory, consulte Administrar usuarios y grupos en AWS Managed Microsoft AD en la guía de administración de AWS Directory Service.

4. Cree o modifique un clúster de base de datos de Aurora MySQL. Si utiliza la CLI o la API de RDS en la solicitud de creación, especifique un identificador de dominio con el parámetro Domain. Utilice el identificador d-* que se ha generado al crear el directorio y el nombre del rol de IAM que ha creado.

   Si modifica un clúster de base de datos de Aurora MySQL ya existente para utilizar la autenticación Kerberos, establezca los parámetros de dominio y rol de IAM para el clúster de base de datos. Busque el clúster de base de datos en la misma VPC que el directorio de dominio.

5. Use las credenciales de usuario principal de Amazon RDS para conectarse al clúster de base de datos de Aurora MySQL. Cree el usuario de base de datos en Aurora MySQL siguiendo las instrucciones de Paso 6: crear usuarios de Aurora MySQL que usen la autenticación Kerberos.

   Los usuarios que cree de esta manera pueden iniciar sesión en el clúster de base de datos de Aurora MySQL con la autenticación Kerberos. Para obtener más información, consulte Conexión a Aurora MySQL con autenticación Kerberos.

Para utilizar la autenticación Kerberos con un Microsoft Active Directory en las instalaciones o autoalojado, cree una relación de confianza entre bosques. Una relación de confianza entre bosques es una relación de confianza entre dos grupos de dominios. La confianza puede ser unidireccional o bidireccional. Para obtener más información acerca de la configuración de relaciones de confianza entre bosques con AWS Directory Service, consulte Cuándo crear una relación de confianza en la Guía de administración de AWS Directory Service.

Limitaciones de la autenticación Kerberos para Aurora MySQL

Las siguientes limitaciones se aplican a la autenticación Kerberos para Aurora MySQL:

• La autenticación Kerberos es compatible con la versión 3.03 de Aurora MySQL y versiones posteriores.

  Para obtener más información sobre la compatibilidad en Región de AWS, consulte Autenticación Kerberos con Aurora MySQL.

• Para usar la autenticación Kerberos con Aurora MySQL, su cliente o conector de MySQL debe usar la versión 8.0.26 o versiones posteriores en las plataformas Unix, y la versión 8.0.27 o versiones posteriores en Windows. De lo contrario, el complemento authentication_kerberos_client del lado del cliente no estará disponible y no podrá autenticarse.

• Solo se admite AWS Managed Microsoft AD en Aurora MySQL. Sin embargo, puede unir clústeres de base de datos de Aurora MySQL a dominios compartidos de Managed Microsoft AD propiedad de distintas cuentas de la misma Región de AWS.

  También puede usar su propio Active Directory en las instalaciones. Para obtener más información, consultar Paso 2: (opcional) crear una relación de confianza para un Active Directory en las instalaciones

• Al utilizar Kerberos para autenticar a un usuario que se conecta al clúster de Aurora MySQL desde clientes MySQL o desde controladores del sistema operativo Windows, de forma predeterminada, las mayúsculas y minúsculas del nombre de usuario de la base de datos deben se iguales que las mayúsculas y minúsculas del usuario de Active Directory. Por ejemplo, si el usuario de Active Directory aparece como Admin, el nombre de usuario de la base de datos debe ser Admin.

  Sin embargo, ahora puede usar la comparación de nombres de usuario que no distinga mayúsculas de minúsculas con el complemento authentication_kerberos. Para obtener más información, consulte Paso 8: (opcional) configurar la comparación de nombres de usuario que no distinga mayúsculas de minúsculas.

• Debe reiniciar las instancias de base de datos del lector después de activar la característica para instalar el complemento authentication_kerberos.

• La replicación en instancias de base de datos que no admiten el complemento authentication_kerberos puede provocar un error de replicación.

• Para que las bases de datos globales de Aurora utilicen la autenticación Kerberos, debe configurarla para cada clúster de base de datos de la base de datos global.

• El nombre de dominio debe tener menos de 62 caracteres.

• No modifique el puerto del clúster de base de datos después de activar la autenticación Kerberos. Si modifica el puerto, la autenticación Kerberos dejará de funcionar.