Autenticazione del database con Amazon Aurora - Amazon Aurora
Autenticazione passwordAutenticazione del database IAMAutenticazione Kerberos

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Autenticazione del database con Amazon Aurora

Amazon Aurora supporta diversi modi per autenticare gli utenti del database.

L'autenticazione con password è disponibile per impostazione predefinita per tutti i cluster database. Per Aurora MySQL e Aurora PostgreSQL, puoi aggiungere sia l'autenticazione del database IAM che l'autenticazione Kerberos per lo stesso cluster di database.

L'autenticazione con password, Kerberos e del database IAM utilizzano diversi metodi di autenticazione nel database. Pertanto, un utente specifico può accedere a un database utilizzando un solo metodo di autenticazione.

Per PostgreSQL, utilizza solo una delle seguenti impostazioni di ruolo per un utente di un database specifico:

  • Per utilizzare l'autenticazione del database IAM, assegna all'utente il ruolo rds_iam.

  • Per utilizzare l'autenticazione Kerberos, assegna all'utente il ruolo rds_ad.

  • Per utilizzare l'autenticazione con password, non assegnare i ruoli rds_iam o rds_ad.

Non assegnare entrambi i ruoli rds_iam e rds_ad a un utente di un database PostgreSQL direttamente o indirettamente mediante l'accesso di concessione nidificato. Se all'utente master, viene aggiunto il ruolo rds_iam, l'autenticazione IAM ha la precedenza sull'autenticazione con password, quindi l'utente master dovrà accedere come utente IAM.

Importante

Si consiglia di non utilizzare l'utente master direttamente nelle applicazioni. Rispetta piuttosto la best practice di utilizzare un utente del database creato con i privilegi minimi richiesti per l'applicazione.

Autenticazione password

Con autenticazione con password il database esegue tutta l'amministrazione degli account utente. È possibile creare utenti con istruzioni SQL come CREATE USER, con la clausola appropriata richiesta dal motore DB per specificare le password. Ad esempio, in MySQL l'istruzione è CREATE USER nome IDENTIFIED BY password, mentre in PostgreSQL, l'istruzione è CREATE USER nome WITH PASSWORD password.

Con l'autenticazione con password, il database controlla e autentica gli account utente. Se un motore DB dispone di potenti funzionalità di gestione delle password, può migliorare la sicurezza. L'autenticazione del database potrebbe essere più semplice da amministrare utilizzando l'autenticazione con password quando si dispone di comunità di utenti di piccole dimensioni. Poiché in questo caso vengono generate password di testo non crittografato, l'integrazione con AWS Secrets Manager può migliorare la sicurezza.

Per informazioni sull'utilizzo di Secrets Manager con Amazon Aurora, consulta Creazione di un segreto di base e Rotazione di segreti per i database Amazon RDS supportati nella Guida per l'utente di AWS Secrets Manager . Per informazioni sul recupero a livello di programmazione dei segreti nelle applicazioni personalizzate, consulta Recupero del valore segreto nella Guida per l'utente di AWS Secrets Manager .

Autenticazione del database IAM

È possibile autenticarsi nel cluster di DB utilizzando l'autenticazione del database AWS Identity and Access Management (IAM). Con questo metodo di autenticazione, non devi utilizzare una password quando esegui la connessione al cluster database. Utilizzi invece un token di autenticazione.

Per ulteriori informazioni sull'autenticazione del database IAM, incluse le informazioni sulla disponibilità per motori DB specifici, vedere Autenticazione del database IAM .

Autenticazione Kerberos

Amazon Aurora supporta l'autenticazione esterna degli utenti dei database con Kerberos e Microsoft Active Directory. Kerberos è un protocollo di autenticazione di rete che utilizza ticket e crittografia a chiave simmetrica eliminando la necessità di scambiare password sulla rete. È stato integrato in Microsoft Active Directory ed è progettato per autenticare gli utenti su risorse di rete, ad esempio i database.

Il supporto Amazon Aurora per Kerberos e Active Directory offre i vantaggi del Single Sign-On e dell'autenticazione centralizzata degli utenti dei database. Puoi mantenere le tue credenziali utente in Active Directory. Active Directory fornisce una posizione centralizzata per archiviare e gestire le credenziali per più cluster database.

Sono disponibili due modi per consentire agli utenti del database di autenticarsi rispetto ai cluster database. Possono utilizzare credenziali archiviate in AWS Directory Service for Microsoft Active Directory o nell'Active Directory locale.

Aurora PostgreSQL non supporta il tipo di autenticazione selettiva in Forest Trust, ma solo l'autenticazione a livello di foresta.

Aurora supporta l'autenticazione Kerberos per i cluster di database Aurora MySQL e Aurora PostgreSQL. Per ulteriori informazioni sull'autenticazione Kerberos per Aurora MySQL, consulta Utilizzo dell'autenticazione Kerberos per Aurora MySQL.

Con l'autenticazione Kerberos, i cluster di database Aurora PostgreSQL supportano relazioni di trust di foreste unidirezionali e bidirezionali. Per ulteriori informazioni, consulta Utilizzo di Autenticazione Kerberos con Aurora PostgreSQL.