Menggunakan autentikasi Kerberos untuk Aurora MySQL - Amazon Aurora
Ikhtisar autentikasi Kerberos untuk Aurora MySQLPembatasan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan autentikasi Kerberos untuk Aurora MySQL

Anda dapat menggunakan autentikasi Kerberos untuk mengautentikasi pengguna saat mereka terhubung ke klaster DB Aurora MySQL Anda. Untuk melakukannya, lakukan konfigurasi klaster DB Anda agar menggunakan AWS Directory Service for Microsoft Active Directory untuk autentikasi Kerberos. AWS Directory Service for Microsoft Active Directory juga disebut AWS Managed Microsoft AD. Ini adalah fitur yang tersedia dengan AWS Directory Service. Untuk mempelajari selengkapnya, lihat Apa itu AWS Directory Service? di dalam Panduan Administrasi AWS Directory Service.

Untuk memulai, buat direktori AWS Managed Microsoft AD untuk menyimpan kredensial pengguna. Kemudian, berikan domain Active Directory dan informasi lainnya ke klaster DB Aurora MySQL Anda. Saat pengguna mengautentikasi dengan klaster DB Aurora MySQL, permintaan autentikasi diteruskan ke direktori AWS Managed Microsoft AD.

Menyimpan semua kredensial Anda di direktori yang sama dapat menghemat waktu dan tenaga Anda. Dengan pendekatan ini, Anda memiliki sebuah lokasi terpusat untuk menyimpan dan mengelola kredensial bagi beberapa klaster DB. Menggunakan direktori juga dapat meningkatkan profil keamanan keseluruhan Anda.

Selain itu, Anda dapat mengakses kredensial dari Microsoft Active Directory on-premise Anda sendiri. Untuk melakukannya, buat hubungan domain tepercaya sehingga direktori AWS Managed Microsoft AD mempercayai Microsoft Active Directory on-premise Anda. Dengan cara ini, pengguna Anda dapat mengakses klaster DB Aurora MySQL Anda dengan pengalaman masuk tunggal (SSO) Windows yang sama seperti ketika mereka mengakses beban kerja di jaringan on-premise Anda.

Basis data dapat menggunakan Kerberos, AWS Identity and Access Management (IAM), atau autentikasi Kerberos dan IAM. Namun, karena autentikasi Kerberos dan IAM menyediakan metode autentikasi yang berbeda, pengguna tertentu dapat login ke basis data hanya menggunakan salah satu metode autentikasi, dan tidak bisa keduanya. Untuk informasi selengkapnya tentang autentikasi IAM, lihat Autentikasi basis data IAM.

Daftar Isi

Ikhtisar autentikasi Kerberos untuk klaster DB Aurora MySQL

Untuk menyiapkan autentikasi Kerberos untuk klaster DB Aurora MySQL, selesaikan langkah-langkah umum berikut. Langkah ini dijelaskan secara lebih mendetail nanti.

  1. Gunakan AWS Managed Microsoft AD untuk membuat direktori AWS Managed Microsoft AD. Anda dapat menggunakan AWS Management Console, AWS CLI, atau AWS Directory Service untuk membuat direktori. Untuk petunjuk mendetail, lihat Membuat direktori AWS Managed Microsoft AD Anda di Panduan AdministrasiAWS Directory Service.

  2. Buat peran AWS Identity and Access Management (IAM) yang menggunakan kebijakan IAM terkelola AmazonRDSDirectoryServiceAccess. Peran ini memungkinkan Amazon Aurora untuk melakukan panggilan ke direktori Anda.

    Agar peran dapat mengizinkan akses, titik akhir AWS Security Token Service (AWS STS) harus diaktifkan di Wilayah AWS untuk akun AWS Anda. Titik akhir AWS STS aktif secara default di semua Wilayah AWS, dan Anda dapat menggunakannya tanpa tindakan lebih lanjut. Lihat informasi yang lebih lengkap di Mengaktifkan dan menonaktifkan AWS STS di Wilayah AWS dalam Panduan Pengguna IAM.

  3. Buat dan konfigurasikan pengguna dalam direktori AWS Managed Microsoft AD dengan menggunakan alat Microsoft Active Directory. Untuk informasi selengkapnya tentang membuat pengguna di Active Directory Anda, lihat Mengelola pengguna dan grup di Microsoft AD yang dikelola AWS di Panduan Administrasi AWS Directory Service.

  4. Buat atau modifikasi klaster DB Aurora MySQL. Jika Anda menggunakan CLI atau API RDS dalam permintaan pembuatan, tentukan pengidentifikasi domain dengan parameter Domain. Gunakan pengidentifikasi d-* yang dihasilkan saat Anda membuat direktori Anda dan nama peran IAM yang Anda buat.

    Jika Anda memodifikasi klaster DB Aurora MySQL yang sudah ada untuk menggunakan autentikasi Kerberos, atur domain dan parameter peran IAM untuk klaster DB. Cari klaster DB di dalam VPC yang sama dengan direktori domain.

  5. Gunakan kredensial pengguna primer Amazon RDS untuk terhubung ke klaster DB Aurora MySQL. Buat pengguna basis data di Aurora MySQL dengan menggunakan instruksi di Langkah 6: Buat pengguna MySQL Aurora yang menggunakan autentikasi Kerberos.

    Pengguna yang Anda buat dengan cara ini dapat login ke klaster DB Aurora MySQL menggunakan autentikasi Kerberos. Untuk informasi selengkapnya, lihat Membuat koneksi dengan Aurora MySQL lewat autentikasi Kerberos.

Untuk menggunakan autentikasi Kerberos dengan Microsoft Active Directory on-premise atau yang di-host mandiri, buat sebuah trust forest. Trust forest adalah hubungan kepercayaan antara dua kelompok domain. Kepercayaan bisa satu arah atau dua arah. Untuk informasi selengkapnya tentang menyiapkan trust forest menggunakan AWS Directory Service, lihat Kapan membuat hubungan kepercayaan dalam Panduan Administrasi AWS Directory Service.

Batasan autentikasi Kerberos untuk Aurora MySQL

Pembatasan berikut ini berlaku untuk autentikasi Kerberos untuk Aurora MySQL:

  • Autentikasi Kerberos didukung untuk Aurora MySQL versi 3.03 dan lebih tinggi.

    Untuk informasi tentang dukungan Wilayah AWS, lihat Autentikasi Kerberos dengan Aurora MySQL.

  • Untuk menggunakan autentikasi Kerberos dengan Aurora MySQL, klien atau konektor MySQL Anda harus menggunakan versi 8.0.26 atau lebih tinggi pada platform Unix, 8.0.27 atau lebih tinggi di Windows. Jika tidak, plugin authentication_kerberos_client sisi klien tidak tersedia dan Anda tidak dapat mengautentikasi.

  • Hanya AWS Managed Microsoft AD yang didukung di Aurora MySQL. Namun, Anda dapat menggabungkan klaster DB Aurora MySQL ke domain Microsoft AD Terkelola bersama yang dimiliki oleh akun-akun yang berbeda di dalam Wilayah AWS yang sama.

    Anda juga dapat menggunakan Active Directory on-premise Anda sendiri. Untuk informasi selengkapnya, lihat Langkah 2: (Opsional) Buat kepercayaan untuk Active Directory on-premise

  • Saat menggunakan Kerberos untuk mengautentikasi pengguna yang terhubung ke klaster Aurora MySQL dari klien MySQL atau dari driver pada sistem operasi Windows, secara default huruf besar/kecil karakter nama pengguna basis data harus sesuai dengan huruf besar/kecil pengguna di Active Directory. Misalnya, jika pengguna di Active Directory muncul sebagai Admin, nama pengguna basis data harus Admin.

    Namun, Anda sekarang dapat menggunakan perbandingan nama pengguna yang tidak peka huruf besar/kecil dengan plugin authentication_kerberos. Untuk informasi selengkapnya, lihat Langkah 8: (Opsional) Lakukan konfigurasi perbandingan nama pengguna yang tidak peka huruf besar/kecil.

  • Anda harus melakukan boot ulang instans DB pembaca setelah mengaktifkan fitur untuk menginstal plugin authentication_kerberos.

  • Replikasi ke instans DB yang tidak mendukung plugin authentication_kerberos dapat menyebabkan kegagalan replikasi.

  • Agar basis data global Aurora dapat menggunakan autentikasi Kerberos, Anda harus mengonfigurasinya untuk setiap klaster DB di dalam basis data global.

  • Nama domain harus kurang dari 62 karakter.

  • Jangan memodifikasi port klaster DB setelah mengaktifkan autentikasi Kerberos. Jika Anda memodifikasi port, autentikasi Kerberos tidak akan berfungsi lagi.