Utilizzo dell'autenticazione Kerberos per Aurora MySQL - Amazon Aurora
Panoramica dell'autenticazione Kerberos per Aurora MySQLRestrizioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dell'autenticazione Kerberos per Aurora MySQL

Puoi utilizzare l'autenticazione Kerberos per autenticare gli utenti quando si connettono al cluster di database Aurora MySQL. A tale scopo, devi configurare il cluster di database per utilizzare AWS Directory Service for Microsoft Active Directory per l'autenticazione Kerberos. AWS Directory Service for Microsoft Active Directory è anche chiamato AWS Managed Microsoft AD. È una funzionalità disponibile con AWS Directory Service. Per ulteriori informazioni, consultare Che cos'è AWS Directory Service?nella Guida di amministrazione di AWS Directory Service.

Per iniziare, crea una directory AWS Managed Microsoft AD in cui archiviare le credenziali utente. Quindi fornisci al cluster di database Aurora MySQL il dominio di Active Directory e altre informazioni. Quando gli utenti eseguono l'autenticazione con il cluster di database Aurora MySQL, le richieste di autenticazione vengono inoltrate alla directory AWS Managed Microsoft AD.

Mantenere tutte le credenziali nella stessa directory consente di ridurre il tempo e l'impegno. Con questo approccio, hai una posizione centralizzata per archiviare e gestire le credenziali per più cluster di database. L'uso di una directory può inoltre migliorare il profilo di sicurezza complessivo.

Puoi inoltre accedere alle credenziali da Microsoft Active Directory on-premise. A tale scopo, crea una relazione di dominio trusting in modo che la directory AWS Managed Microsoft AD consideri attendibile Microsoft Active Directory on-premise. In questo modo, gli utenti possono accedere ai cluster di database Aurora MySQL con la stessa esperienza di autenticazione unica (SSO) di Windows dei carichi di lavoro nella rete on-premise.

Un database può usare Kerberos, AWS Identity and Access Management (IAM) o autenticazione Kerberos e IAM insieme. Tuttavia, poiché l'autenticazione Kerberos e IAM forniscono metodi di autenticazione diversi, un utente specifico può accedere a un database utilizzando solo uno o l'altro metodo di autenticazione, ma non entrambi. Per ulteriori informazioni sull'autenticazione IAM, consulta Autenticazione del database IAM .

Indice

Panoramica dell'autenticazione Kerberos per cluster di database Aurora MySQL

Per configurare l'autenticazione Kerberos per un cluster di database Aurora MySQL, completa le fasi generali riportate di seguito. che vengono descritte dettagliatamente più avanti.

  1. Utilizza AWS Managed Microsoft AD per creare una directory AWS Managed Microsoft AD. Per creare la directory puoi utilizzare la AWS Management Console, AWS CLI o la AWS Directory Service. Per ulteriori informazioni, consulta Creazione della directory AWS Managed Microsoft AD nella Guida per l'amministrazione di AWS Directory Service.

  2. Creare un ruolo AWS Identity and Access Management (IAM) che utilizza la policy IAM gestita AmazonRDSDirectoryServiceAccess. Il ruolo consente ad Amazon Aurora di effettuare chiamate alla tua directory.

    Affinché il ruolo consenta l'accesso, l'endpoint AWS Security Token Service (AWS STS) deve essere attivato nella Regione AWS per l'account AWS. Gli endpoint AWS STS sono attivi per impostazione predefinita in tutte le Regioni AWS e puoi utilizzarli senza ulteriori interventi. Per ulteriori informazioni, consulta Attivazione e disattivazione di AWS STS in una Regione AWS nella Guida per l’utente di IAM.

  3. Crea e configura utenti nella directory AWS Managed Microsoft AD utilizzando gli strumenti di Microsoft Active Directory. Per ulteriori informazioni sulla creazione di utenti in Active Directory, consulta Gestione di utenti e gruppi in AWS Managed Microsoft AD nella Guida all’amministrazione di AWS Directory Service.

  4. Crea o modifica un cluster di database Aurora MySQL. Se si utilizza l'interfaccia a riga di comando (CLI) o l'API RDS nella richiesta di creazione, specificare un identificatore di dominio con il parametro Domain. Utilizza l'identificatore d-* generato al momento della creazione della directory e il nome del ruolo IAM creato.

    Se modifichi un cluster di database Aurora MySQL esistente per utilizzare l'autenticazione Kerberos, imposta i parametri di dominio e ruolo IAM per il cluster di database. Individua il cluster di database nello stesso VPC della directory di dominio.

  5. Utilizza le credenziali dell'utente principale Amazon RDS per connetterti al cluster di database Aurora MySQL. Crea l'utente del database in Aurora MySQL utilizzando le istruzioni riportate in Fase 6: creazione di utenti Aurora MySQL che utilizzano l'autenticazione Kerberos.

    Gli utenti creati in questo modo possono accedere al cluster di database Aurora MySQL utilizzando l'autenticazione Kerberos. Per ulteriori informazioni, consulta Connessione ad Aurora MySQL con l'autenticazione Kerberos.

Per usare l'autenticazione Kerberos con una Microsoft Active Directory on-premise o auto ospitato, crea un trust tra foreste. Un trust tra foreste è una relazione di trust tra due gruppi di domini. La fiducia può essere a senso unico o bidirezionale. Per ulteriori informazioni sulla configurazione di trust tra foreste tramite AWS Directory Service, consulta Quando creare una relazione di trust nella Guida di amministrazione di AWS Directory Service.

Limitazioni dell'autenticazione Kerberos per Aurora MySQL

Le seguenti limitazioni si applicano all'autenticazione Kerberos per Aurora MySQL:

  • L'autenticazione Kerberos è supportata per Aurora MySQL versione 3.03 e successive.

    Per ulteriori informazioni sul supporto Regione AWS, consulta Autenticazione Kerberos con Aurora MySQL.

  • Per utilizzare l'autenticazione Kerberos con Aurora MySQL, il client o il connettore MySQL deve utilizzare la versione 8.0.26 o successiva su piattaforme Unix e 8.0.27 o successiva su Windows. In caso contrario, il plugin authentication_kerberos_client lato client non è disponibile e non puoi autenticarti.

  • Solo AWS Managed Microsoft AD è supportato su Aurora MySQL. Tuttavia, puoi aggiungere i cluster di database Aurora MySQL a domini Microsoft AD gestita condivisi di proprietà di account diversi nella stessa Regione AWS.

    Inoltre puoi utilizzare la tua Active Directory on-premise. Per ulteriori informazioni, consulta Fase 2: (facoltativa) creazione di un trust per una Active Directory on-premise

  • Quando utilizzi Kerberos per autenticare un utente che si connette al cluster Aurora MySQL dai client MySQL o dai driver nel sistema operativo Windows, per impostazione predefinita i caratteri maiuscoli e minuscoli del nome utente del database devono corrispondere a quelli dell'utente in Active Directory. Ad esempio, se l'utente in Active Directory è Admin, il nome utente del database deve essere Admin.

    Tuttavia, ora puoi utilizzare il confronto dei nomi utente senza distinzione tra maiuscole e minuscole con il plugin authentication_kerberos. Per ulteriori informazioni, consulta Fase 8: (facoltativo) configurazione il confronto dei nomi utente senza distinzione tra maiuscole e minuscole.

  • È necessario riavviare le istanze database di lettura dopo aver attivato la funzionalità per installare il plugin authentication_kerberos.

  • La replica su istanze database che non supportano il plugin authentication_kerberos può causare un errore di replica.

  • Affinché i database globali Aurora utilizzino l'autenticazione Kerberos, è necessario configurarla per ogni cluster del database globale.

  • Il nome di dominio non deve contenere più di 62 caratteri.

  • Non modificare la porta del cluster di database dopo aver abilitato l'autenticazione Kerberos. Se si modifica la porta, l'autenticazione Kerberos non funzionerà.