Menggunakan otentikasi Kerberos untuk Aurora My SQL - Amazon Aurora

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan otentikasi Kerberos untuk Aurora My SQL

Anda dapat menggunakan otentikasi Kerberos untuk mengautentikasi pengguna saat mereka terhubung ke cluster Aurora My DB Anda. SQL Untuk melakukannya, konfigurasikan cluster DB Anda untuk digunakan AWS Directory Service for Microsoft Active Directory untuk otentikasi Kerberos. AWS Directory Service for Microsoft Active Directory disebut juga AWS Managed Microsoft AD. Ini adalah fitur yang tersedia dengan AWS Directory Service. Untuk mempelajari lebih lanjut, lihat Apa itu AWS Directory Service? dalam Panduan AWS Directory Service Administrasi.

Untuk memulai, buat AWS Managed Microsoft AD direktori untuk menyimpan kredensyal pengguna. Kemudian, berikan domain Active Directory dan informasi lainnya ke cluster Aurora My SQL DB Anda. Ketika pengguna mengautentikasi dengan cluster Aurora SQL My DB, permintaan otentikasi diteruskan ke direktori. AWS Managed Microsoft AD

Dengan menyimpan semua kredensial Anda di direktori yang sama, Anda dapat menghemat waktu dan tenaga. Dengan pendekatan ini, Anda memiliki sebuah lokasi terpusat untuk menyimpan dan mengelola kredensial bagi beberapa klaster DB. Menggunakan direktori juga dapat meningkatkan profil keamanan keseluruhan Anda.

Selain itu, Anda dapat mengakses kredensial dari Microsoft Active Directory on-premise Anda sendiri. Untuk melakukannya, buat hubungan domain tepercaya sehingga direktori AWS Managed Microsoft AD mempercayai Microsoft Active Directory on-premise Anda. Dengan cara ini, pengguna Anda dapat mengakses klaster Aurora My SQL DB Anda dengan pengalaman masuk tunggal (SSO) Windows yang sama seperti ketika mereka mengakses beban kerja di jaringan lokal Anda.

Database dapat menggunakan Kerberos, AWS Identity and Access Management (IAM), atau Kerberos dan otentikasi. IAM Namun, karena Kerberos dan IAM otentikasi menyediakan metode otentikasi yang berbeda, pengguna tertentu dapat masuk ke database hanya menggunakan satu atau metode otentikasi lainnya, tetapi tidak keduanya. Untuk informasi selengkapnya tentang IAM otentikasi, lihatIAMotentikasi database .

Ikhtisar otentikasi Kerberos untuk cluster Aurora My DB SQL

Untuk mengatur otentikasi Kerberos untuk cluster Aurora My SQL DB, selesaikan langkah-langkah umum berikut. Langkah ini dijelaskan secara lebih mendetail nanti.

  1. Gunakan AWS Managed Microsoft AD untuk membuat AWS Managed Microsoft AD direktori. Anda dapat menggunakan AWS Management Console, yang AWS CLI, atau AWS Directory Service untuk membuat direktori. Untuk petunjuk terperinci, lihat Membuat AWS Managed Microsoft AD direktori Anda di Panduan AWS Directory Service Administrasi.

  2. Buat peran AWS Identity and Access Management (IAM) yang menggunakan IAM kebijakan terkelolaAmazonRDSDirectoryServiceAccess. Peran ini memungkinkan Amazon Aurora untuk melakukan panggilan ke direktori Anda.

    Agar peran mengizinkan akses, titik akhir AWS Security Token Service (AWS STS) harus diaktifkan di Wilayah AWS untuk AWS akun Anda. AWS STS endpoint aktif secara default di semua Wilayah AWS, dan Anda dapat menggunakannya tanpa tindakan lebih lanjut. Untuk informasi selengkapnya, lihat Mengaktifkan dan menonaktifkan AWS STSWilayah AWS dalam Panduan Pengguna. IAM

  3. Buat dan konfigurasikan pengguna di AWS Managed Microsoft AD direktori menggunakan alat Microsoft Active Directory. Untuk informasi selengkapnya tentang membuat pengguna di Active Directory, lihat Mengelola pengguna dan grup di Microsoft AD AWS terkelola di Panduan AWS Directory Service Administrasi.

  4. Buat atau modifikasi cluster Aurora My SQL DB. Jika Anda menggunakan salah satu CLI atau RDS API dalam permintaan buat, tentukan pengenal domain dengan Domain parameter. Gunakan d-* pengenal yang dihasilkan saat Anda membuat direktori dan nama IAM peran yang Anda buat.

    Jika Anda memodifikasi cluster Aurora My SQL DB yang ada untuk menggunakan otentikasi Kerberos, tetapkan parameter domain dan IAM peran untuk cluster DB. Temukan cluster DB VPC sama dengan direktori domain.

  5. Gunakan kredensyal pengguna RDS utama Amazon untuk terhubung ke klaster Aurora My DB. SQL Buat pengguna database di Aurora My SQL dengan menggunakan instruksi di. Langkah 6: Buat Aurora SQL Pengguna saya yang menggunakan otentikasi Kerberos

    Pengguna yang Anda buat dengan cara ini dapat masuk ke cluster Aurora My SQL DB menggunakan otentikasi Kerberos. Untuk informasi selengkapnya, lihat Membuat koneksi dengan Aurora MySQL lewat autentikasi Kerberos.

Untuk menggunakan autentikasi Kerberos dengan Microsoft Active Directory on-premise atau yang di-host mandiri, buat sebuah trust forest. Trust forest adalah hubungan kepercayaan antara dua kelompok domain. Kepercayaan bisa satu arah atau dua arah. Untuk informasi selengkapnya tentang penggunaan trust hutan AWS Directory Service, lihat Kapan membuat hubungan kepercayaan dalam Panduan AWS Directory Service Administrasi.

Batasan otentikasi Kerberos untuk Aurora My SQL

Batasan berikut berlaku untuk otentikasi Kerberos untuk Aurora My: SQL

  • Otentikasi Kerberos didukung untuk Aurora My SQL versi 3.03 dan yang lebih tinggi.

    Untuk informasi tentang Wilayah AWS dukungan, lihatOtentikasi Kerberos dengan Aurora My SQL.

  • Untuk menggunakan otentikasi Kerberos dengan Aurora MySQL, SQL klien atau konektor Saya harus menggunakan versi 8.0.26 atau lebih tinggi pada platform Unix, 8.0.27 atau lebih tinggi di Windows. Jika tidak, plugin authentication_kerberos_client sisi klien tidak tersedia dan Anda tidak dapat mengautentikasi.

  • Hanya AWS Managed Microsoft AD didukung di Aurora My. SQL Namun, Anda dapat bergabung dengan klaster Aurora My SQL DB ke domain Microsoft AD Terkelola bersama yang dimiliki oleh akun yang berbeda secara bersamaan. Wilayah AWS

    Anda juga dapat menggunakan Active Directory on-premise Anda sendiri. Untuk informasi selengkapnya, lihat Langkah 2: (Opsional) Buat kepercayaan untuk Active Directory on-premise.

  • Saat menggunakan Kerberos untuk mengautentikasi pengguna yang terhubung ke Aurora My SQL cluster dari SQL Klien saya atau dari driver di sistem operasi Windows, secara default kasus karakter nama pengguna database harus cocok dengan kasus pengguna di Direktori Aktif. Misalnya, jika pengguna di Active Directory muncul sebagai Admin, nama pengguna basis data harus Admin.

    Namun, Anda sekarang dapat menggunakan perbandingan nama pengguna yang tidak peka huruf besar/kecil dengan plugin authentication_kerberos. Untuk informasi selengkapnya, lihat Langkah 8: (Opsional) Lakukan konfigurasi perbandingan nama pengguna yang tidak peka huruf besar/kecil.

  • Anda harus melakukan boot ulang instans DB pembaca setelah mengaktifkan fitur untuk menginstal plugin authentication_kerberos.

  • Replikasi ke instans DB yang tidak mendukung plugin authentication_kerberos dapat menyebabkan kegagalan replikasi.

  • Agar basis data global Aurora dapat menggunakan autentikasi Kerberos, Anda harus mengonfigurasinya untuk setiap klaster DB di dalam basis data global.

  • Nama domain harus kurang dari 62 karakter.

  • Jangan memodifikasi port klaster DB setelah mengaktifkan autentikasi Kerberos. Jika Anda memodifikasi port, autentikasi Kerberos tidak akan berfungsi lagi.