Menggunakan autentikasi Kerberos dengan Aurora PostgreSQL

Anda dapat menggunakan Kerberos untuk mengautentikasi pengguna saat terhubung ke klaster DB Anda yang menjalankan PostgreSQL. Untuk melakukannya, konfigurasi klaster DB Anda agar menggunakan AWS Directory Service for Microsoft Active Directory untuk autentikasi Kerberos. AWS Directory Service for Microsoft Active Directory juga disebut AWS Managed Microsoft AD. Ini adalah fitur yang tersedia dengan AWS Directory Service. Untuk mempelajari selengkapnya, lihat Apa itu AWS Directory Service? dalam Panduan Administrasi AWS Directory Service.

Untuk memulai, buat direktori AWS Managed Microsoft AD untuk menyimpan kredensial pengguna. Kemudian, berikan domain Active Directory dan informasi lainnya ke klaster DB PostgreSQL Anda. Saat pengguna mengautentikasi dengan klaster DB PostgreSQL, permintaan autentikasi diteruskan ke direktori AWS Managed Microsoft AD.

Dengan menyimpan semua kredensial Anda di direktori yang sama, Anda dapat menghemat waktu dan tenaga. Anda memiliki sebuah lokasi terpusat untuk menyimpan dan mengelola kredensial bagi beberapa klaster DB. Penggunaan direktori juga dapat meningkatkan profil keamanan Anda secara keseluruhan.

Selain itu, Anda dapat mengakses kredensial dari Microsoft Active Directory on-premise Anda sendiri. Untuk melakukannya, buat hubungan domain tepercaya sehingga direktori AWS Managed Microsoft AD mempercayai Microsoft Active Directory on-premise Anda. Dengan cara ini, pengguna Anda dapat mengakses klaster PostgreSQL Anda dengan pengalaman masuk tunggal (SSO) Windows yang sama seperti ketika mereka mengakses beban kerja di jaringan on-premise Anda.

Basis data dapat menggunakan Kerberos, AWS Identity and Access Management (IAM), atau autentikasi Kerberos dan IAM. Namun, karena autentikasi Kerberos dan IAM menyediakan metode autentikasi yang berbeda, pengguna basis data tertentu dapat masuk ke basis data hanya menggunakan salah satu metode autentikasi, dan tidak bisa keduanya. Untuk informasi selengkapnya tentang autentikasi IAM, lihat Autentikasi basis data IAM.

Topik

• Ketersediaan Wilayah dan versi
• Ikhtisar autentikasi Kerberos untuk klaster DB PostgreSQL
• Menyiapkan autentikasi Kerberos untuk klaster DB PostgreSQL
• Mengelola klaster DB di Domain
• Menghubungkan ke PostgreSQL dengan autentikasi Kerberos
• Menggunakan grup keamanan AD untuk kontrol akses Aurora PostgreSQL

Ketersediaan Wilayah dan versi

Ketersediaan dan dukungan fitur bervariasi di seluruh versi khusus dari setiap mesin basis data, dan di seluruh Wilayah AWS. Untuk informasi selengkapnya tentang Ketersediaan wilayah dan versi Aurora PostgreSQL dengan autentikasi Kerberos, lihat Autentikasi Kerberos dengan Aurora PostgreSQL.

Ikhtisar autentikasi Kerberos untuk klaster DB PostgreSQL

Untuk menyiapkan autentikasi Kerberos untuk klaster DB PostgreSQL, lakukan langkah-langkah berikut, yang dijelaskan secara lebih mendetail nanti:

1. Gunakan AWS Managed Microsoft AD untuk membuat direktori AWS Managed Microsoft AD. Anda dapat menggunakan AWS Management Console, AWS CLI, atau AWS Directory Service API untuk membuat direktori. Pastikan untuk membuka port keluar yang relevan pada grup keamanan direktori sehingga direktori dapat berkomunikasi dengan klaster.

2. Buat peran yang memberikan akses ke Amazon Aurora untuk melakukan panggilan ke direktori AWS Managed Microsoft AD Anda. Untuk melakukannya, buat peran (IAM) AWS Identity and Access Management yang menggunakan kebijakan IAM terkelola AmazonRDSDirectoryServiceAccess.

   Agar peran IAM mengizinkan akses, titik akhir AWS Security Token Service (AWS STS) harus diaktifkan di Wilayah AWS yang tepat untuk akun AWS Anda. Titik akhir AWS STS aktif secara default di semua Wilayah AWS, dan Anda dapat menggunakannya tanpa tindakan lebih lanjut. Lihat informasi selengkapnya di Mengaktifkan dan menonaktifkan AWS STS di Wilayah AWS dalam Panduan Pengguna IAM.

3. Buat dan konfigurasikan pengguna dalam direktori AWS Managed Microsoft AD menggunakan alat Microsoft Active Directory. Untuk mengetahui informasi selengkapnya tentang cara membuat pengguna di Active Directory, lihat Mengelola pengguna dan grup di Microsoft AD Terkelola AWS dalam Panduan Administrasi AWS Directory Service.

4. Jika Anda ingin menemukan direktori dan instans DB dalam akun AWS atau cloud privat virtual (VPC) yang berbeda, konfigurasikan peering VPC. Untuk informasi selengkapnya, lihat Apa yang dimaksud peering VPC? di Panduan Peering Amazon VPC.

5. Buat atau modifikasi klaster DB PostgreSQL dari konsol, CLI, atau RDS API menggunakan salah satu metode berikut:

   • Membuat dan terhubung ke klaster DB Aurora PostgreSQL

   • Memodifikasi klaster DB Amazon Aurora

   • Memulihkan dari snapshot klaster DB

   • Memulihkan klaster DB ke waktu tertentu

   Anda dapat menemukan klaster di Cloud Privat Virtual (VPC) Amazon yang sama dengan direktori atau di VPC atau akun AWS yang berbeda. Saat membuat atau memodifikasi klaster DB PostgreSQL, lakukan hal berikut:

   • Sediakan pengidentifikasi domain (pengidentifikasi d-*) yang dihasilkan saat Anda membuat direktori.

   • Beri nama peran IAM yang Anda buat.

   • Pastikan bahwa grup keamanan instans DB dapat menerima lalu lintas masuk dari grup keamanan direktori.

6. Gunakan kredensial pengguna utama RDS untuk terhubung ke klaster DB PostgreSQL. Buat pengguna dalam PostgreSQL untuk diidentifikasi secara eksternal. Pengguna yang diidentifikasi secara eksternal dapat masuk ke klaster DB PostgreSQL menggunakan autentikasi Kerberos.