Utilisation de l'authentification Kerberos pour Aurora MySQL

Vous pouvez utiliser l'authentification Kerberos pour authentifier les utilisateurs lorsqu'ils se connectent à votre cluster de bases de données Aurora MySQL. Pour ce faire, vous configurez votre cluster de bases de données afin qu'il utilise AWS Directory Service for Microsoft Active Directory pour l'authentification Kerberos. AWS Directory Service for Microsoft Active Directory est également appelé AWS Managed Microsoft AD. Cette fonction est disponible avec AWS Directory Service. Pour en savoir plus, consultez Qu'est-ce qu'AWS Directory Service ? dans le Guide d'administration AWS Directory Service.

Pour démarrer, créez un annuaire AWS Managed Microsoft AD pour stocker les informations d'identification utilisateur. Fournissez ensuite à votre cluster de bases de données Aurora MySQL le domaine de l'annuaire Active Directory ainsi que d'autres informations. Lorsque les utilisateurs s'authentifient auprès de l'instance de cluster de bases de données Aurora MySQL, les demandes d'authentification sont transférées vers l'annuaire AWS Managed Microsoft AD.

Vous pouvez gagner du temps et de l'argent en conservant toutes les informations d'identification dans le même annuaire. Cette approche vous permet d'avoir un endroit centralisé de stockage et de gestion des informations d'identification pour plusieurs clusters de bases de données. L'utilisation d'un annuaire peut également améliorer votre profil de sécurité global.

Vous pouvez également accéder aux informations d'identification à partir de votre propre annuaire Microsoft Active Directory sur site. Pour ce faire, vous créez une relation de domaine d'approbation afin que l'annuaire AWS Managed Microsoft AD approuve votre annuaire Microsoft Active Directory sur site. De cette façon, vos utilisateurs peuvent accéder à vos clusters de bases de données Aurora MySQL avec la même expérience d'authentification unique (SSO) Windows que lorsqu'ils accèdent aux charges de travail de votre réseau sur site.

Une base de données peut utiliser Kerberos, AWS Identity and Access Management (IAM), ou à la fois l'authentification Kerberos et IAM. Toutefois, comme les authentifications Kerberos et IAM fournissent des méthodes d'authentification différentes, un utilisateur spécifique peut se connecter à une base de données en utilisant uniquement l'une ou l'autre méthode d'authentification, mais pas les deux. Pour plus d'informations sur l'authentification IAM, veuillez consulter Authentification de base de données IAM.

Table des matières

• Présentation de l'authentification Kerberos pour les clusters de bases de données Aurora MySQL
• Limites de l'authentification Kerberos pour Aurora MySQL
• Configuration de l'authentification Kerberos pour les clusters de bases de données Aurora MySQL
  • Étape 1 : Créer un annuaire à l'aide d AWS Managed Microsoft AD
  • Étape 2 : (Facultatif) Créer une approbation pour un annuaire Active Directory sur site
  • Étape 3 : Créer un rôle IAM pour une utilisation par Amazon Aurora
  • Étape 4 : Créer et configurer des utilisateurs
  • Étape 5 : Créer ou modifier un cluster de bases de données Aurora MySQL
  • Étape 6 : Créer des utilisateurs Aurora MySQL utilisant l'authentification Kerberos
    • Modification d'un identifiant Aurora MySQL existant
  • Étape 7 : Configurer un client MySQL
  • Étape 8 : (Facultatif) Configurer la comparaison des noms d'utilisateur sans distinction de casse
• Connexion à Aurora MySQL avec l'authentification Kerberos
  • Utilisation de l'identifiant Kerberos Aurora MySQL pour se connecter au cluster de bases de données
  • Authentification Kerberos avec des bases de données globales Aurora
  • Migration de RDS for MySQL vers Aurora MySQL
  • Prévention de la mise en cache des tickets
  • Journalisation pour l'authentification Kerberos
• Gestion d'un cluster de bases de données dans un domaine
  • Présentation de l'appartenance au domaine

Présentation de l'authentification Kerberos pour les clusters de bases de données Aurora MySQL

Pour configurer l'authentification Kerberos pour un cluster de bases de données Aurora MySQL, effectuez les étapes générales suivantes. Ces étapes sont décrites plus en détail ci-dessous.

1. Utilisez AWS Managed Microsoft AD pour créer un annuaire AWS Managed Microsoft AD. Vous pouvez utiliser AWS Management Console, AWS CLI ou l'AWS Directory Service pour créer l'annuaire. Pour obtenir des instructions détaillées, consultez Création d'un annuaire AWS Managed Microsoft AD dans le Guide d'administration AWS Directory Service.

2. Créez un rôle AWS Identity and Access Management (IAM) utilisant la politique IAM gérée AmazonRDSDirectoryServiceAccess. Le rôle autorise Amazon Aurora à effectuer des appels vers votre annuaire.

   Pour que le rôle autorise l'accès, le point de terminaison AWS Security Token Service (AWS STS) doit être activé dans la Région AWS pour votre compte AWS. Les points de terminaison AWS STS sont actifs par défaut dans toutes les Régions AWS et vous pouvez les utiliser sans qu'aucune autre action soit nécessaire. Pour de plus amples informations, veuillez consulter Activation et désactivation d'AWS STS dans une Région AWS dans le Guide de l'utilisateur IAM.

3. Créez et configurez les utilisateurs dans l'annuaire AWS Managed Microsoft AD à l'aide des outils Microsoft Active Directory. Pour plus d'informations sur la création d'utilisateurs dans votre annuaire Active Directory, consultez Gérer les utilisateurs et les groupes dans Microsoft AD géré par AWS dans le Guide d'administration AWS Directory Service.

4. Créez ou modifiez un cluster de bases de données Aurora MySQL. Si vous utilisez CLI ou l'API RDS dans la demande de création, spécifiez un identificateur de domaine avec le paramètre Domain. Utilisez l'identificateur d-* généré lors de la création de votre annuaire et le nom du rôle IAM que vous avez créé.

   Si vous modifiez un cluster de bases de données Aurora MySQL existante pour utiliser l'authentification Kerberos, définissez les paramètres de domaine et de rôle IAM pour le cluster de bases de données. Recherchez le cluster de bases de données dans le même VPC que l'annuaire du domaine.

5. Utilisez les informations d'identification de l'utilisateur principal Amazon RDS pour vous connecter au cluster de bases de données Aurora MySQL. Créez l'utilisateur de base de données dans Aurora MySQL en suivant les instructions données dansÉtape 6 : Créer des utilisateurs Aurora MySQL utilisant l'authentification Kerberos.

   Les utilisateurs que vous créez de cette façon peuvent se connecter au cluster de bases de données Aurora MySQL en utilisant l'authentification Kerberos. Pour de plus amples informations, veuillez consulter Connexion à Aurora MySQL avec l'authentification Kerberos.

Pour utiliser l'authentification Kerberos à l'aide d'un annuaire Microsoft Active Directory sur site ou auto-géré, créez une approbation de forêt. Une approbation de forêt est une relation d'approbation entre deux groupes de domaines. L'approbation peut être unidirectionnelle ou bidirectionnelle. Pour de plus amples informations sur la configuration des approbations de forêts avec AWS Directory Service, veuillez consulter Quand créer une relation d'approbation ? dans le Guide d'administration AWS Directory Service.

Limites de l'authentification Kerberos pour Aurora MySQL

Les limitates suivantes s'appliquent à l'authentification Kerberos pour Aurora MySQL :

• L'authentification Kerberos est prise en charge pour Aurora MySQL versions 3.03 et ultérieures.

  Pour plus d'informations sur la prise en charge d'une Région AWS, consultez Authentification Kerberos avec Aurora MySQL.

• Pour utiliser l'authentification Kerberos avec Aurora MySQL, votre client ou connecteur MySQL doit utiliser la version 8.0.26 ou ultérieure sur les plateformes Unix, 8.0.27 ou ultérieure sur Windows. Sinon, le plug-in authentication_kerberos_client côté client n'est pas disponible et vous ne pouvez pas vous authentifier.

• Seul AWS Managed Microsoft AD est pris en charge sur Aurora MySQL. Toutefois, vous pouvez joindre des clusters de bases de données Aurora MySQL à des domaines Microsoft AD gérés partagés qui appartiennent à différents comptes dans la même Région AWS.

  Vous pouvez également utiliser votre propre annuaire Active Directory sur site. Pour plus d'informations, consultez Étape 2 : (Facultatif) Créer une approbation pour un annuaire Active Directory sur site.

• Lorsque vous utilisez Kerberos pour authentifier un utilisateur qui se connecte au cluster Aurora MySQL à partir de clients MySQL ou de pilotes du système d'exploitation Windows, la casse des caractères du nom d'utilisateur de base de données doit correspondre à celle de l'utilisateur dans Active Directory. Par exemple, si l'utilisateur apparaît dans Active Directory en tant qu'Admin, le nom d'utilisateur de base de données doit être Admin.

  Cependant, vous pouvez désormais utiliser la comparaison des noms d'utilisateur sans distinction de casse avec le plug-in authentication_kerberos. Pour de plus amples informations, veuillez consulter Étape 8 : (Facultatif) Configurer la comparaison des noms d'utilisateur sans distinction de casse.

• Vous devez redémarrer les instances de base de données de lecteur après avoir activé la fonction pour installer le plug-in authentication_kerberos.

• La réplication vers des instances de base de données qui ne prennent pas en charge le plug-in authentication_kerberos peut entraîner un échec de réplication.

• Pour que les bases de données globales Aurora utilisent l'authentification Kerberos, vous devez la configurer pour chaque cluster de bases de données de la base de données globale.

• Le nom de domaine doit comporter moins de 62 caractères.

• Ne modifiez pas le port du cluster de bases de données après avoir activé l'authentification Kerberos. Si vous modifiez le port, l'authentification Kerberos ne fonctionnera plus.