Usar a autenticação Kerberos com o Amazon RDS for PostgreSQL - Amazon Relational Database Service

Usar a autenticação Kerberos com o Amazon RDS for PostgreSQL

É possível usar o Kerberos para autenticar usuários quando eles se conectam à instancia de banco de dados executando o PostgreSQL. Nesse caso, a instância de banco de dados funciona com o AWS Directory Service for Microsoft Active Directory para habilitar a autenticação Kerberos. O AWS Directory Service for Microsoft Active Directory também é chamado de AWS Managed Microsoft AD.

Crie um diretório AWS Managed Microsoft AD para armazenar credenciais de usuário. Depois, forneça à instância de banco de dados PostgreSQL o domínio do Active Directory e outras informações. Quando os usuários são autenticados com a instância de banco de dados PostgreSQL, as solicitações de autenticação são encaminhadas para o diretório AWS Managed Microsoft AD.

Manter todas as suas credenciais no mesmo diretório pode economizar tempo e esforço. Há um lugar centralizado para armazenar e gerenciar credenciais para várias instâncias de banco de dados. O uso de um diretório também pode melhorar o perfil de segurança geral.

Também é possível acessar credenciais de seu próprio Microsoft Active Directory local. Para fazer isso, crie uma relação de domínio confiável para que o diretório AWS Managed Microsoft AD confie no Microsoft Active Directory local. Dessa forma, seus usuários podem acessar as instâncias de do PostgreSQL com a mesma experiência de autenticação única (SSO) do Windows, como quando acessam cargas de trabalho na sua rede on-premise.

Disponibilidade da autenticação Kerberos

O Amazon RDS oferece suporte à autenticação Kerberos para instâncias de banco de dados PostgreSQL nas seguintes regiões da AWS:

Nome da região Região

US East (Ohio)

us-east-2

US East (N. Virginia)

us-east-1

US West (N. California)

us-west-1

US West (Oregon)

us-west-2

Asia Pacific (Mumbai)

ap-south-1

Asia Pacific (Seoul)

ap-northeast-2

Asia Pacific (Singapore)

ap-southeast-1

Asia Pacific (Sydney)

ap-southeast-2

Asia Pacific (Tokyo)

ap-northeast-1

Canada (Central)

ca-central-1

China (Beijing)

cn-north-1

China (Ningxia)

cn-northwest-1

Europe (Frankfurt)

eu-central-1

Europe (Ireland)

eu-west-1

Europe (London)

eu-west-2

Europe (Paris)

eu-west-3

Europe (Stockholm)

eu-north-1

South America (São Paulo)

sa-east-1

Visão geral da autenticação Kerberos para instâncias de banco de dados PostgreSQL

Para configurar a autenticação Kerberos para uma instância de banco de dados PostgreSQL, siga as etapas a seguir, descritas em mais detalhes posteriormente:

  1. Use AWS Managed Microsoft AD para criar um diretório do AWS Managed Microsoft AD. É possível usar o AWS Management Console, a AWS CLI ou a API do AWS Directory Service para criar o diretório. Certifique-se de abrir as portas de saída relevantes no grupo de segurança do diretório para que o diretório possa se comunicar com a instância.

  2. Crie uma função que forneça ao Amazon RDS acesso para fazer chamadas para o diretório AWS Managed Microsoft AD. Para fazer isso, crie uma função do AWS Identity and Access Management (IAM) que use a política gerenciada do IAM AmazonRDSDirectoryServiceAccess.

    Para a função do IAM permitir acesso, o endpoint do AWS Security Token Service (AWS STS) deve estar ativado na região da AWS correta da conta da AWS. Os endpoints do AWS STS são ativados por padrão em todas as regiões da AWS e é possível usá-los sem ter que tomar medidas adicionais. Para obter mais informações, consulte Ativar e desativarAWS STS em uma AWSregião da no Manual do usuário do IAM.

  3. Crie e configure usuários no diretório AWS Managed Microsoft AD usando as ferramentas do Microsoft Active Directory. Para obter mais informações sobre como criar usuários em seu Active Directory, consulte Gerenciar usuários e grupos no Microsoft AD gerenciado pela AWS noGuia de administração doAWS Directory Service.

  4. Se você planeja localizar o diretório e a instância de Bancos de Dados em contas da AWS ou nuvens privadas virtuais (VPCs) diferentes, configure o emparelhamento de VPCs. Para obter mais informações, consulte O que é emparelhamento de VPC? no Amazon VPC Peering Guide.

  5. Crie ou modifique uma instância de banco de dados PostgreSQL no console, na CLI ou na API do RDS usando um dos seguintes métodos:

    É possível localizar a instância na mesma Amazon Virtual Private Cloud (VPC) que o diretório ou em uma conta da AWS ou VPC diferente. Ao criar ou modificar a instância de banco de dados PostgreSQL, faça o seguinte:

    • Forneça o identificador de domínio (identificador d-*) que foi gerado quando você criou seu diretório.

    • Forneça o nome da função do IAM criada.

    • Certifique-se de que o grupo de segurança da instância de banco de dados possa receber o tráfego de entrada do grupo de segurança do diretório.

  6. Use as credenciais de usuário mestre do RDS para conectar-se à instância de de banco de dados PostgreSQL. Crie o usuário no PostgreSQL para ser identificado externamente. Usuários identificados externamente podem fazer login na instância de banco de dados PostgreSQL usando a autenticação Kerberos.