Utilisation de l'authentificationKerberos avec Amazon RDS for Oracle - Amazon Relational Database Service

Utilisation de l'authentificationKerberos avec Amazon RDS for Oracle

Vous pouvez désormais utiliser l'authentification Kerberos pour authentifier les utilisateurs lorsqu'ils se connectent à votre instance de base de données Amazon RDS qui exécute Oracle. Dans ce cas, l'nstance de base de données utilise AWS Directory Service for Microsoft Active Directory (Enterprise Edition), également appelé AWS Managed Microsoft AD, pour activer l'authentification Windows. Lorsque les utilisateurs s'authentifient avec une instance de base de données Oracle jointe au domaine d'approbation, les demandes d'authentification sont transmises à l'annuaire de domaine que vous créez avec AWS Directory Service.

Vous pouvez gagner du temps et de l'argent en conservant toutes les informations d'identification dans le même annuaire. Vous avez un endroit centralisé de stockage et de gestion des informations d'identification pour plusieurs instances de base de données. L'utilisation d'un annuaire peut également améliorer votre profil de sécurité global.

Amazon RDS prend en charge l'authentification Kerberos pour les instances de base de données Oracle dans les régions AWS suivantes :

  • USA Est (Ohio)

  • USA Est (Virginie du Nord)

  • USA Ouest (Californie du Nord)

  • USA Ouest (Oregon)

  • Asie-Pacifique (Mumbai)

  • Asie-Pacifique (Séoul)

  • Asie-Pacifique (Singapour)

  • Asie-Pacifique (Sydney)

  • Asie-Pacifique (Tokyo)

  • Canada (Centre)

  • Europe (Francfort)

  • Europe (Irlande)

  • Europe (Londres)

  • Europe (Stockholm)

  • Amérique du Sud (São Paulo)

Note

L'authentification Kerberos n'est pas prise en charge pour les classes d'instances de base de données qui sont obsolètes pour les instances de base de données Oracle. Pour plus d'informations, consultez Prise en charge des classes d'instance de base de données pour Oracle.

Pour configurer l'authentification pour une instance de base de données Oracle, effectuez les étapes générales suivantes, décrites plus en détails par la suite :

  1. Utilisez AWS Managed Microsoft AD pour créer un annuaire AWS Managed Microsoft AD. Vous pouvez utiliser AWS Management Console, AWS CLI ou l'API AWS Directory Service pour créer l'annuaire.

  2. Créez un rôle AWS Identity and Access Management (IAM) qui utilise la stratégie IAM AmazonRDSDirectoryServiceAccess gérée. Le rôle autorise Amazon RDS à effectuer des appels vers votre annuaire.

    Pour que le rôle autorise l'accès, le point de terminaison AWS Security Token Service (AWS STS) doit être activé dans la région AWS correcte pour votre compte AWS. Les points de terminaison AWS STS sont actifs par défaut dans toutes les régions AWS et vous pouvez les utiliser sans qu'aucune autre action soit nécessaire. Pour de plus amples informations, veuillez consulter Activation et désactivation d'AWS STS dans une région AWS dans le Guide de l'utilisateur IAM.

  3. Créez et configurez les utilisateurs dans l'annuaire AWS Managed Microsoft AD à l'aide des outils Microsoft Active Directory. Pour de plus amples informations sur la création des utilisateurs dans votre Microsoft Active Directory, veuillez consulter Gérer les utilisateurs et les groupes dans Microsoft AD géré par AWS dans le Guide d'administration AWS Directory Service.

  4. Si vous avez l'intention de rechercher l'annuaire et l'instance de base de données dans des comptes AWS ou des VPC (Virtual Private Cloud) différents, configurez l'appairage des VPC. Pour de plus amples informations, veuillez consulter Qu'est-ce que l'appairage de VPC ? dans le Amazon VPC Peering Guide.

  5. Créez ou modifiez une instance de base de données Oracle depuis la console, l'interface de ligne de commande ou l'API RDS à l'aide de l'une des méthodes suivantes :

    Lorsque vous créez ou modifiez l'instance de base de données, fournissez l'identifiant de domaine (identifiant d-*) qui a été généré lors de la création de votre annuaire et le nom du rôle que vous avez créé. Vous pouvez rechercher l'instance de base de données dans le même Amazon Virtual Private Cloud (VPC) que le répertoire ou dans un compte AWS ou un VPC différent.

  6. Utilisez les informations d'identification de l'utilisateur principal Amazon RDS pour vous connecter à l'instance de base de données Oracle. Créez l'utilisateur dans Oracle en vue d'une identification externe. Les utilisateurs identifiés en externe peuvent se connecter à l'instance de base de données Oracle à l'aide de l'authentification Kerberos.

Pour obtenir l'authentification Kerberos à l'aide d'un compte Microsoft Active Directory sur site ou auto-géré, créez une approbation de forêt ou une approbation externe. L'approbation peut être unidirectionnelle ou bidirectionnelle. Pour de plus amples informations sur la configuration des approbations de forêt avec AWS Directory Service, veuillez consulter Quand créer une relation d'approbation dans le Guide d'administration AWS Directory Service.