Aurora MySQL での Kerberos 認証の使用

Aurora MySQL DB クラスターに接続するユーザーを Kerberos 認証を使用して認証できるようになりました。そのためには、Kerberos 認証に AWS Directory Service for Microsoft Active Directory を使用するように DB クラスターを設定します。AWS Directory Service for Microsoft Active Directory は AWS Managed Microsoft AD とも呼ばれます。これは、AWS Directory Service で利用できる機能です。詳細については、「AWS Directory Service 管理ガイド」の「AWS Directory Service とは」を参照してください。

まず、ユーザー認証情報を格納する AWS Managed Microsoft AD ディレクトリを作成します。次に、Active Directory のドメインおよびその他の情報を Aurora MySQL DB クラスターに提供します。ユーザーが Aurora MySQL クラスターを使用して認証を実行すると、認証要求は AWS Managed Microsoft AD ディレクトリに転送されます。

同じディレクトリにすべての認証情報を保持することで時間と労力を節約できます。この方法により、複数の DB クラスターの認証情報を一元的に保存および管理できます。また、ディレクトリを使用することで、セキュリティプロファイル全体を向上できます。

また、独自のオンプレミスの Microsoft Active Directory から認証情報にアクセスできます。そのためには、信頼するドメイン関係を作成して、AWS Managed Microsoft AD ディレクトリがオンプレミスの Microsoft Active Directory を信頼するようにします。これにより、ユーザーは、オンプレミスネットワークのワークロードにアクセスするときと同じ Windows シングルサインオン (SSO) の使い方で、Aurora MySQL クラスターにアクセスできます。

データベースは Kerberos、AWS Identity and Access Management (IAM)、または Kerberos 認証と IAM 認証の両方。ただし、Kerberos 認証と IAM 認証では異なる認証方法が提供されるため、特定のユーザーは、どちらか一方の認証方法のみを使用してデータベースにログインできますが、両方を使用することはできません。IAM 認証の詳細については、「 の IAM データベース認証」を参照してください。

目次

• Aurora MySQL DB クラスターの Kerberos 認証の概要
• Aurora MySQL の Kerberos 認証の制限事項
• Aurora MySQL DB クラスターの Kerberos 認証の設定
  • ステップ 1: AWS Managed Microsoft AD を使用してディレクトリを作成する
  • ステップ 2: (オプション) オンプレミスの Active Directory の信頼を作成する
  • ステップ 3: Amazon Aurora 用の IAM ロールを作成する
  • ステップ 4: ユーザーを作成して設定する
  • ステップ 5: Aurora MySQL DB クラスターを作成または変更する
  • ステップ 6: Kerberos 認証を使用する Aurora MySQL ユーザーを作成する
    • 既存の Aurora MySQL ログインの変更
  • ステップ 7: MySQL クライアントを設定する
  • ステップ 8: (オプション) 大文字と小文字を区別しないユーザー名比較の設定
• Kerberos 認証を使用した Aurora MySQL への接続
  • Aurora MySQL Kerberos ログインを使用して DB クラスターに接続する
  • Aurora グローバルデータベースで Kerberos 認証を使用する
  • RDS for MySQL から Aurora MySQL への移行
  • チケットキャッシュの防止
  • Kerberos 認証用のログ記録
• ドメイン内の DB クラスターの管理
  • ドメインのメンバーシップを理解する

Aurora MySQL DB クラスターの Kerberos 認証の概要

Aurora MySQL DB クラスターに Kerberos 認証を設定するには、以下の一般的なステップを完了します。これらのステップについては、後で詳細を説明します。

1. AWS Managed Microsoft AD を使用して AWS Managed Microsoft AD ディレクトリを作成します。AWS Management Console、AWS CLI、AWS Directory Service を使用して、ディレクトリを作成できます。詳しい手順については、AWS Directory Service 管理ガイドの「AWS Managed Microsoft AD ディレクトリの作成」を参照してください。

2. マネージド IAM ポリシー AmazonRDSDirectoryServiceAccess を使用する AWS Identity and Access Management (IAM) ロールの作成 このロールにより Amazon Aurora はディレクトリを呼び出すことができます。

   ロールによるアクセスを許可するには、AWS Security Token Service (AWS STS) エンドポイントを AWS アカウントの AWS リージョン でアクティベートする必要があります。AWS STS エンドポイントは、すべての AWS リージョン でデフォルトでアクティブになっているため、他のアクションを実行せずに、エンドポイントを使用することができます。詳細については、IAM ユーザーガイドの「AWS リージョン でのアクティブ化と非アクティブ化」を参照してください。

3. Microsoft Active Directory のツールを使用して、AWS Managed Microsoft AD ディレクトリでユーザーとグループを作成し、設定します。Active Directory にユーザーを作成する方法の詳細については、AWS 管理ガイドの「AWS Directory Service マネージド Microsoft AD でユーザーとグループを管理する」を参照してください。

4. Aurora MySQL DB クラスターを作成または変更する 作成リクエストで CLI または RDS API を使用する場合は、Domain パラメータでドメイン識別子を指定します。ディレクトリの作成時に生成された d-* 識別子と、作成した IAM ロールの名前を使用します。

   既存の Aurora MySQL DB クラスターを変更して Kerberos 認証を使用する場合は、DB クラスターのドメインパラメータと IAM ロールパラメータを設定します。ドメインディレクトリと同じ VPC で DB クラスターを見つけます。

5. Amazon RDS プライマリユーザー認証情報を使用して、Aurora MySQL DB クラスターに接続します。ステップ 6: Kerberos 認証を使用する Aurora MySQL ユーザーを作成する の手順に従って、Aurora MySQL でデータベースユーザーを作成します。

   この方法で作成したユーザーは、Kerberos 認証を使用して Aurora MySQL DB クラスターにログインできます。詳細については、「Kerberos 認証を使用した Aurora MySQL への接続」を参照してください。

オンプレミスまたはセルフホスト型の Microsoft Active Directory を使用して Kerberos 認証を取得するには、フォレストの信頼関係を確立する必要があります。フォレストの信頼関係とは、2 つのドメイングループ間の信頼関係です。信頼は、一方向または双方向にすることができます。AWS Directory Service を使用してフォレストの信頼関係を設定する方法の詳細については、AWS Directory Service 管理ガイドの「信頼関係を作成する場合」を参照してください。

Aurora MySQL の Kerberos 認証の制限事項

Aurora MySQL の Kerberos 認証には、以下の制限が適用されます。

• Kerberos 認証は、Aurora MySQL バージョン 3.03 以降でサポートされています。

  AWS リージョン でのサポートの詳細については、「Aurora MySQL で Kerberos 認証を使用する」を参照してください。

• Aurora MySQL で Kerberos 認証を使用するには、MySQL クライアントまたはコネクタが Unix プラットフォームではバージョン 8.0.26 以上、Windows では 8.0.27 以降を使用する必要があります。それ以外の場合は、クライアント側の authentication_kerberos_client プラグインが利用できず、認証できません。

• AWS Managed Microsoft AD は、Aurora MySQL でのみサポートされています。ただし、同じ AWS リージョン の異なるアカウントによって所有されている共有の Managed Microsoft AD ドメインに、Aurora MySQL DB クラスターを接続できます。

  また、独自のオンプレミスの Active Directory を使用できます。詳細については、「ステップ 2: (オプション) オンプレミスの Active Directory の信頼を作成する」を参照してください。

• MySQL クライアントから、または Windows オペレーティングシステムのドライバーから Aurora MySQL クラスターに接続するユーザーを Kerberos を使用して 認証する場合、デフォルトでは、データベースユーザー名の大文字と小文字は Active Directory のユーザーのものと一致する必要があります。例えば、Active Directory のユーザーが Admin として表示されている場合、データベースユーザー名は Admin である必要があります。

  ただし、authentication_kerberos プラグインでは、大文字と小文字を区別しないユーザー名の比較が可能になりました。詳細については、「ステップ 8: (オプション) 大文字と小文字を区別しないユーザー名比較の設定」を参照してください。

• authentication_kerberos プラグインをインストールする機能を有効にした後は、リーダー DB インスタンスを再起動する必要があります。

• authentication_kerberos プラグインをサポートしていない DB インスタンスに複製すると、複製が失敗する可能性があります。

• Aurora グローバルデータベースで Kerberos 認証を使用するには、グローバルデータベース内のすべての DB クラスターに認証を設定する必要があります。

• ドメイン名は 62 文字未満にする必要があります。

• Kerberos 認証を有効にした後は、DB クラスターポートを変更しないでください。ポートを変更すると、Kerberos 認証が機能しなくなります。