Datenbankauthentifizierung mit Amazon Aurora - Amazon Aurora
PasswortauthentifizierungIAM-DatenbankauthentifizierungKerberos-Authentifizierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Datenbankauthentifizierung mit Amazon Aurora

Amazon Aurora unterstützt mehrere Methoden zur Authentifizierung von Datenbankbenutzern.

Die Passwort-Authentifizierung ist standardmäßig für alle DB-Cluster verfügbar. Für Aurora My SQL und Aurora Postgre SQL können Sie auch eine oder beide IAM Datenbankauthentifizierung und Kerberos-Authentifizierung für denselben DB-Cluster hinzufügen.

Die Passwort-, Kerberos- und IAM Datenbankauthentifizierung verwenden unterschiedliche Methoden zur Authentifizierung bei der Datenbank. Daher kann sich ein bestimmter Benutzer mit nur einer einzigen Authentifizierungsmethode bei einer Datenbank anmelden.

Verwenden Sie für Postgre SQL nur eine der folgenden Rolleneinstellungen für einen Benutzer einer bestimmten Datenbank:

  • Um die IAM Datenbankauthentifizierung zu verwenden, weisen Sie die rds_iam Rolle dem Benutzer zu.

  • Um Kerberos-Authentifizierung zu verwenden, weisen Sie die rds_ad-Rolle dem Benutzer zu.

  • Um die Passwort-Authentifizierung zu verwenden, weisen Sie keine der beiden rds_iam- oder rds_ad- Rollen dem Benutzer zu.

Weisen Sie einem Benutzer einer SQL Postgre-Datenbank weder direkt noch indirekt durch verschachtelten Grant-Zugriff sowohl die rds_ad Rollen als auch die Rollen zu. rds_iam Wenn die rds_iam Rolle dem Masterbenutzer hinzugefügt wird, hat die IAM Authentifizierung Vorrang vor der Passwortauthentifizierung, sodass sich der Hauptbenutzer als Benutzer anmelden muss. IAM

Wichtig

Wir empfehlen Ihnen, den Hauptbenutzer nicht direkt in Ihren Anwendungen zu verwenden. Bleiben Sie stattdessen bei der bewährten Methode, einen Datenbankbenutzer zu verwenden, der mit den Mindestberechtigungen erstellt wurde, die für Ihre Anwendung erforderlich sind.

Passwortauthentifizierung

Mit der Passwortauthentifizierung führt Ihre Datenbank die gesamte Verwaltung von Benutzerkonten durch. Sie erstellen Benutzer mit SQL Anweisungen wieCREATE USER, mit der entsprechenden Klausel, die von der DB-Engine für die Angabe von Kennwörtern benötigt wird. In My lautet SQL die Anweisung beispielsweise CREATE USER name IDENTIFIED BY password, während die Aussage in Postgre SQL lautet CREATE USER name WITH PASSWORD password.

Mit der Passwortauthentifizierung steuert und authentifiziert Ihre Datenbank Benutzerkonten. Wenn eine DB-Engine über starke Passwortverwaltungsfunktionen verfügt, können diese die Sicherheit erhöhen. Die Datenbankauthentifizierung ist möglicherweise einfacher mit der Passwortauthentifizierung zu verwalten, wenn Sie kleine Benutzergemeinschaften haben. Weil in diesem Fall Klartext-Passwörter generiert werden, die sich integrieren mit AWS Secrets Manager kann die Sicherheit erhöhen.

Informationen zur Verwendung von Secrets Manager mit Amazon Aurora finden Sie unter Creating a basic secret und Roating secrets for supported Amazon RDS databases in der AWS Secrets Manager Benutzerleitfaden. Informationen zum programmgesteuerten Abrufen Ihrer geheimen Daten in Ihren benutzerdefinierten Anwendungen finden Sie unter Abrufen des Geheimwerts in der AWS Secrets Manager Benutzerleitfaden.

IAM-Datenbankauthentifizierung

Sie können sich bei Ihrem authentifizieren mit AWS Identity and Access Management (IAM) Datenbankauthentifizierung. Mit dieser Authentifizierungsmethode benötigen Sie kein Passwort, um eine Verbindung mit einer DB-Cluster herzustellen. Stattdessen verwenden Sie ein Authentifizierungstoken.

Weitere Hinweise zur IAM Datenbankauthentifizierung, einschließlich Informationen zur Verfügbarkeit für bestimmte DB-Engines, finden Sie unterIAM-Datenbankauthentifizierung.

Kerberos-Authentifizierung

Amazon Aurora unterstützt die externe Authentifizierung von Datenbankbenutzern mithilfe von Kerberos und Microsoft Active Directory. Kerberos ist ein Netzwerk-Authentifizierungsprotokoll, das Tickets und symmetrische Schlüsselkryptographie verwendet, um die Notwendigkeit der Übertragung von Passwörtern über das Netzwerk zu vermeiden. Kerberos wurde in Active Directory integriert und wurde entwickelt, um Benutzer gegenüber Netzwerkressourcen wie Datenbanken zu authentifizieren.

Amazon Aurora Die für Kerberos und Active Directory bietet die Vorteile von Single Sign-On und zentraler Authentifizierung von Datenbankbenutzern. Sie können Ihre Benutzeranmeldeinformationen in Active Directory speichern. Active Directory bietet einen zentralen Ort für die Speicherung und Verwaltung von Anmeldeinformationen für mehrere DB-Cluster.

Um Anmeldeinformationen aus Ihrem selbstverwalteten Active Directory verwenden zu können, müssen Sie eine Vertrauensbeziehung zu dem einrichten AWS Directory Service für Microsoft Active Directory, mit dem der verbunden ist.

unterstützen unidirektionale SQL und bidirektionale Forest-Trust-Beziehungen mit gesamtstrukturweiter Authentifizierung oder selektiver Authentifizierung.

In einigen Szenarien können Sie die Kerberos-Authentifizierung über eine externe Vertrauensbeziehung konfigurieren. Dazu muss Ihr selbstverwaltetes Active Directory über zusätzliche Einstellungen verfügen. Dies beinhaltet, ist aber nicht beschränkt auf Kerberos Forest Search Order.

Aurora unterstützt die Kerberos-Authentifizierung für Aurora My SQL - und Aurora Postgre-DB-Cluster. SQL Weitere Informationen erhalten Sie unter Verwenden der Kerberos-Authentifizierung für Aurora MySQL und Verwenden der Kerberos-Authentifizierung mit Aurora PostgreSQL.