Autenticazione password Autenticazione del database IAM Autenticazione Kerberos

Autenticazione del database con Amazon Aurora

Amazon Aurora supporta diversi modi per autenticare gli utenti del database.

L'autenticazione con password è disponibile per impostazione predefinita per tutti i cluster database. Per Aurora MySQL e Aurora PostgreSQL, puoi aggiungere sia l'autenticazione del database IAM che l'autenticazione Kerberos per lo stesso cluster di database.

L'autenticazione con password, Kerberos e del database IAM utilizzano diversi metodi di autenticazione nel database. Pertanto, un utente specifico può accedere a un database utilizzando un solo metodo di autenticazione.

Per PostgreSQL, utilizza solo una delle seguenti impostazioni di ruolo per un utente di un database specifico:

Per utilizzare l'autenticazione del database IAM, assegna all'utente il ruolo rds_iam.
Per utilizzare l'autenticazione Kerberos, assegna all'utente il ruolo rds_ad.
Per utilizzare l'autenticazione con password, non assegnare i ruoli rds_iam o rds_ad.

Non assegnare entrambi i ruoli rds_iam e rds_ad a un utente di un database PostgreSQL direttamente o indirettamente mediante l'accesso di concessione nidificato. Se all'utente master, viene aggiunto il ruolo rds_iam, l'autenticazione IAM ha la precedenza sull'autenticazione con password, quindi l'utente master dovrà accedere come utente IAM.

Importante

Si consiglia di non utilizzare l'utente master direttamente nelle applicazioni. Rispetta piuttosto la best practice di utilizzare un utente del database creato con i privilegi minimi richiesti per l'applicazione.

Autenticazione password

Con autenticazione con password il database esegue tutta l'amministrazione degli account utente. È possibile creare utenti con istruzioni SQL come CREATE USER, con la clausola appropriata richiesta dal motore DB per specificare le password. Ad esempio, in MySQL l'istruzione è CREATE USER nome IDENTIFIED BY password, mentre in PostgreSQL, l'istruzione è CREATE USER nome WITH PASSWORD password.

Con l'autenticazione con password, il database controlla e autentica gli account utente. Se un motore DB dispone di potenti funzionalità di gestione delle password, può migliorare la sicurezza. L'autenticazione del database potrebbe essere più semplice da amministrare utilizzando l'autenticazione con password quando si dispone di comunità di utenti di piccole dimensioni. Poiché in questo caso vengono generate password di testo non crittografato, l'integrazione con AWS Secrets Manager può migliorare la sicurezza.

Per informazioni sull’utilizzo di Secrets Manager con Amazon Aurora, consulta Creazione di un segreto di base e Rotazione dei segreti per database Amazon RDS supportati nella Guida per l’utente di AWS Secrets Manager. Per informazioni sul recupero a livello di programmazione dei segreti nelle applicazioni personalizzate, consulta Recupero del valore segreto nella Guida per l'utente di AWS Secrets Manager.

Autenticazione del database IAM

Puoi eseguire l’autenticazione nel cluster di database tramite l’autenticazione del database AWS Identity and Access Management (IAM). Con questo metodo di autenticazione, non devi utilizzare una password quando esegui la connessione al cluster di database. Utilizzi invece un token di autenticazione.

Per ulteriori informazioni sull’autenticazione del database IAM, incluse le informazioni sulla disponibilità per specifici motori di database, consulta Autenticazione del database IAM .

Autenticazione Kerberos

Amazon Aurora supporta l’autenticazione esterna degli utenti dei database con Kerberos e Microsoft Active Directory. Kerberos è un protocollo di autenticazione di rete che utilizza ticket e crittografia a chiave simmetrica eliminando la necessità di scambiare password sulla rete. È stato integrato in Microsoft Active Directory ed è progettato per autenticare gli utenti su risorse di rete, ad esempio i database.

Il supporto Amazon Aurora per Kerberos e Active Directory offre i vantaggi del Single Sign-On e dell’autenticazione centralizzata degli utenti dei database. Puoi mantenere le tue credenziali utente in Active Directory. Active Directory fornisce una posizione centralizzata per archiviare e gestire le credenziali per più cluster di database.

Per utilizzare le credenziali di Active Directory autogestito, devi configurare una relazione di trust verso il AWS Directory Service per Microsoft Active Directory a cui è collegato il cluster di database.

Aurora PostgreSQL e Aurora MySQL supportano relazioni di trust tra foreste unidirezionali e bidirezionali con autenticazione a livello di foresta o autenticazione selettiva.

In alcuni scenari, è possibile configurare l’autenticazione Kerberos tramite una relazione di trust esterna. Ciò richiede che Active Directory autogestito disponga di impostazioni aggiuntive. Questo include, ad esempio, Kerberos Forest Search Order.

Aurora supporta l'autenticazione Kerberos per i cluster di database Aurora MySQL e Aurora PostgreSQL. Per ulteriori informazioni, consulta Utilizzo dell'autenticazione Kerberos per Aurora MySQL e Utilizzo di Autenticazione Kerberos con Aurora PostgreSQL.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Sicurezza

Gestione delle password con Aurora e Secrets Manager