Usar a autenticação Kerberos com o Aurora PostgreSQL - Amazon Aurora

Usar a autenticação Kerberos com o Aurora PostgreSQL

É possível usar o Kerberos para autenticar usuários quando eles se conectam ao seu cluster de banco de dados executando o PostgreSQL. Para fazer isso, configure seu cluster de banco de dados para usar o AWS Directory Service for Microsoft Active Directory para autenticação Kerberos. O AWS Directory Service for Microsoft Active Directory também é chamado de AWS Managed Microsoft AD. É um recurso disponível com o AWS Directory Service. Para saber mais, consulte What is AWS Directory Service? (O que é o ?) no Guia de administração do AWS Directory Service.

Para iniciar, crie um diretório AWS Managed Microsoft AD para armazenar credenciais de usuário. Depois, forneça ao cluster de banco de dados PostgreSQL o domínio do Active Directory e outras informações. Quando os usuários são autenticados com o cluster de banco de dados PostgreSQL, as solicitações de autenticação são encaminhadas para o diretório AWS Managed Microsoft AD.

Manter todas as suas credenciais no mesmo diretório pode economizar tempo e esforço. Há um lugar centralizado para armazenar e gerenciar credenciais para vários clusters de banco de dados. O uso de um diretório também pode melhorar o perfil de segurança geral.

Além disso, é possível acessar credenciais de seu próprio Microsoft Active Directory on-premises. Para fazer isso, crie uma relação de domínio confiável para que o diretório AWS Managed Microsoft AD confie no Microsoft Active Directory on-premises. Dessa forma, seus usuários podem acessar as de clusters do PostgreSQL com a mesma experiência de autenticação única (SSO) do Windows, como quando acessam workloads na sua rede on-premises.

Um banco de dados pode usar autenticação Kerberos, do AWS Identity and Access Management (IAM) ou ambas. No entanto, como a autenticação Kerberos e IAM fornecem métodos de autenticação diferentes, um usuário do banco de dados específico somente pode fazer login em um banco de dados usando um ou outro método de autenticação, mas não ambos. Para ter mais informações sobre a autenticação do IAM, consulte Autenticação do banco de dados do IAM.

Disponibilidade de região e versão

A disponibilidade e a compatibilidade de recursos variam entre versões específicas de cada mecanismo de banco de dados e entre Regiões da AWS. Para ter mais informações sobre a disponibilidade de versões e regiões do Aurora PostgreSQL com autenticação do Kerberos, consulte Autenticação do Kerberos com o Aurora PostgreSQL.

Visão geral da autenticação Kerberos para clusters de banco de dados PostgreSQL

Para configurar a autenticação Kerberos para um cluster de banco de dados PostgreSQL, siga as etapas a seguir, descritas em mais detalhes posteriormente:

  1. Use AWS Managed Microsoft AD para criar um diretório do AWS Managed Microsoft AD. É possível usar o AWS Management Console, a AWS CLI ou a API do AWS Directory Service para criar o diretório. Certifique-se de abrir as portas de saída relevantes no grupo de segurança do diretório para que o diretório possa se comunicar com o cluster.

  2. Crie uma função que forneça ao Amazon Aurora acesso para fazer chamadas para o diretório AWS Managed Microsoft AD. Para fazer isso, crie um perfil do AWS Identity and Access Management (IAM) que use a política gerenciada do IAM AmazonRDSDirectoryServiceAccess.

    Para o perfil do IAM permitir acesso, o endpoint do AWS Security Token Service (AWS STS) deve estar ativado na região da AWS correta da conta da AWS. Os endpoints do AWS STS são ativados por padrão em todas as Regiões da AWS e é possível usá-los sem ter que tomar medidas adicionais. Para ter mais informações, consulte Ativar e desativar o AWS STS em uma AWS região da no Manual do usuário do IAM.

  3. Crie e configure usuários no diretório AWS Managed Microsoft AD usando as ferramentas do Microsoft Active Directory. Para ter mais informações sobre como criar usuários em seu Active Directory, consulte Gerenciar usuários e grupos no Microsoft AD gerenciado pela AWS noGuia de administração doAWS Directory Service.

  4. Se você planeja localizar o diretório e a instância de Bancos de Dados em contas da AWS ou nuvens privadas virtuais (VPCs) diferentes, configure o emparelhamento de VPCs. Para ter mais informações, consulte O que é emparelhamento de VPC? no Amazon VPC Peering Guide.

  5. Crie ou modifique um cluster de banco de dados PostgreSQL no console, na CLI ou na API do RDS usando um dos seguintes métodos:

    É possível localizar o cluster na mesma Amazon Virtual Private Cloud (VPC) que o diretório ou em uma conta da AWS ou VPC diferente. Ao criar ou modificar o cluster de banco de dados PostgreSQL, faça o seguinte:

    • Forneça o identificador de domínio (identificador d-*) que foi gerado quando você criou seu diretório.

    • Forneça o nome do perfil do IAM criado.

    • Certifique-se de que o grupo de segurança da instância de banco de dados possa receber o tráfego de entrada do grupo de segurança do diretório.

  6. Use as credenciais de usuário mestre do RDS para conectar-se à de cluster de banco de dados PostgreSQL. Crie o usuário no PostgreSQL para ser identificado externamente. Usuários identificados externamente podem fazer login no cluster de banco de dados PostgreSQL usando a autenticação Kerberos.