Utilisation de l'authentification Kerberos avec Amazon RDS pour PostgreSQL - Amazon Relational Database Service

Utilisation de l'authentification Kerberos avec Amazon RDS pour PostgreSQL

Vous pouvez désormais utiliser l'authentification Kerberos pour authentifier les utilisateurs lorsqu'ils se connectent à votre instance de base de données qui exécute PostgreSQL. Dans ce cas, votre instance de base de données utilise AWS Directory Service for Microsoft Active Directory (Enterprise Edition) pour activer l'authentification Windows. AWS Directory Service for Microsoft Active Directory (Enterprise Edition) est également appelé AWS Managed Microsoft AD.

Vous créez un annuaire AWS Managed Microsoft AD pour stocker les informations d'identification utilisateur. Vous fournissez ensuite à votre instance de de bases de données PostgreSQL le domaine d’Active Directory ainsi que d’autres informations. Lorsque les utilisateurs s'authentifient auprès de l’instance de de bases de données PostgreSQL, les demandes d'authentification sont transférées vers l’annuaire AWS Managed Microsoft AD.

Vous pouvez gagner du temps et de l'argent en conservant toutes les informations d'identification dans le même annuaire. Vous avez un endroit centralisé de stockage et de gestion des informations d'identification pour plusieurs instances de base de données. L'utilisation d'un annuaire peut également améliorer votre profil de sécurité global.

Kerberos fournit une méthode d'authentification différente d'AWS Identity and Access Management (IAM). Une base de données peut utiliser l'authentification Kerberos ou IAM, mais pas les deux. Pour de plus amples informations sur l'authentification IAM, veuillez consulter Authentification de base de données IAM pour MySQL et PostgreSQL.

Amazon RDS prend en charge l'authentification Kerberos pour les instances de base de données PostgreSQL dans les régions AWS suivantes :

  • USA Est (Ohio)

  • USA Est (Virginie du Nord)

  • USA Ouest (Californie du Nord)

  • USA Ouest (Oregon)

  • Asie-Pacifique (Mumbai)

  • Asie-Pacifique (Séoul)

  • Asie-Pacifique (Singapour)

  • Asie-Pacifique (Sydney)

  • Asie-Pacifique (Tokyo)

  • Canada (Centre)

  • Europe (Francfort)

  • Europe (Irlande)

  • Europe (Londres)

  • Europe (Stockholm)

  • Amérique du Sud (São Paulo)

  • Chine (Pékin)

  • Chine (Ningxia)

Présentation de l'authentification Kerberos pour les instances de base de données PostgreSQL

Pour configurer l'authentification Kerberos pour une instance de base de données PostgreSQL, exécutez les étapes suivantes, décrites plus en détails par la suite :

  1. Utilisez AWS Managed Microsoft AD pour créer un annuaire AWS Managed Microsoft AD. Vous pouvez utiliser AWS Management Console, AWS CLI ou l'API AWS Directory Service pour créer l'annuaire.

  2. Créez un rôle fournissant l'accès à Amazon RDS pour effectuer des appels vers votre annuaire AWS Managed Microsoft AD. Pour cela, créez un rôle AWS Identity and Access Management (IAM) qui utilise la stratégie IAM gérée AmazonRDSDirectoryServiceAccess.

    Pour que le rôle IAM autorise l'accès, le point de terminaison AWS Security Token Service (AWS STS) doit être activé dans la région AWS correcte pour votre compte AWS. Les points de terminaison AWS STS sont actifs par défaut dans toutes les régions AWS et vous pouvez les utiliser sans qu'aucune autre action soit nécessaire. Pour de plus amples informations, veuillez consulter Activation et désactivation d'AWS STS dans une région AWS dans le Guide de l'utilisateur IAM.

  3. Créez et configurez les utilisateurs dans l'annuaire AWS Managed Microsoft AD à l'aide des outils Microsoft Active Directory. Pour de plus amples informations sur la création d'utilisateurs dans votre annuaire Active Directory, veuillez consulter Gérer les utilisateurs et les groupes dans Microsoft AD géré par AWS dans le Guide d'administration AWS Directory Service.

  4. Si vous avez l'intention de rechercher l'annuaire et l'instance de base de données dans des comptes AWS ou des VPC (Virtual Private Cloud) différents, configurez l'appairage des VPC. Pour de plus amples informations, veuillez consulter Qu'est-ce que l'appairage de VPC ? dans le Amazon VPC Peering Guide.

  5. Créez ou modifiez une instance de base de données PostgreSQL depuis la console, l'interface de ligne de commande ou l'API RDS à l'aide de l'une des méthodes suivantes :

    Lorsque vous créez ou modifiez l'instance de base de données, fournissez l'identifiant de domaine (identifiant d-*) qui a été généré lors de la création de votre annuaire. Fournissez également le nom du rôle IAM que vous avez créé. Vous pouvez rechercher l'instance de base de données dans le même VPC que l'annuaire ou dans un autre compte AWS ou VPC.

  6. Utilisez les informations d'identification de l'utilisateur principal RDS pour vous connecter à l'instance de base de données PostgreSQL. Créez l'utilisateur dans PostgreSQL en vue de son identification externe. Les utilisateurs identifiés en externe peuvent se connecter à l'instance de base de données PostgreSQL à l'aide de l'authentification Kerberos.