Verfügbarkeit von Regionen und Versionen Überblick über die Einrichtung der Kerberos-Authentifizierung für My DB-Instances SQL Kerberos-Authentifizierung für My DB-Instances einrichten SQL Verwalten einer DB-Instance in einer Domäne Mit Kerberos-Authentifizierung eine Verbindung zu My SQL herstellen Eine My SQL DB-Instance wiederherstellen und zu einer Domain hinzufügen Kerberos-Authentifizierung Meine Einschränkungen SQL

Die Verwendung von Kerberos Authentifizierung für Amazon RDS für Microsoft SQL Server

Sie können die Kerberos-Authentifizierung verwenden, um Benutzer zu authentifizieren, wenn sie sich mit Ihrer My DB-Instance verbinden. SQL Die DB-Instance verwendet AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD), um die Kerberos-Authentifizierung zu aktivieren. Wenn sich Benutzer mit einer My SQL DB-Instance authentifizieren, die der vertrauenden Domäne beigetreten ist, werden Authentifizierungsanfragen weitergeleitet. Weitergeleitete Anfragen werden in das Domänenverzeichnis verschoben, mit dem Sie sie erstellen. AWS Directory Service

Wenn Sie alle Ihre Anmeldeinformationen im selben Verzeichnis aufbewahren, können Sie Zeit und Mühe sparen. Mit diesem Ansatz haben Sie einen zentralen Ort für die Speicherung und Verwaltung von Anmeldedaten für mehrere DB-Instances. Die Verwendung eines Verzeichnisses kann auch Ihr allgemeines Sicherheitsprofil verbessern.

Verfügbarkeit von Regionen und Versionen

Die Verfügbarkeit von Funktionen und der Support variieren zwischen bestimmten Versionen der einzelnen Datenbank-Engines und in allen AWS-Regionen. Weitere Informationen zur Version und regionalen Verfügbarkeit von Amazon RDS mit Kerberos-Authentifizierung finden Sie unter. Unterstützte Regionen und DB-Engines für die Kerberos-Authentifizierung in Amazon RDS

Überblick über die Einrichtung der Kerberos-Authentifizierung für My DB-Instances SQL

Um die Kerberos-Authentifizierung für eine My SQL DB-Instance einzurichten, führen Sie die folgenden allgemeinen Schritte aus, die später ausführlicher beschrieben werden:

Wird verwendet AWS Managed Microsoft AD , um ein AWS Managed Microsoft AD Verzeichnis zu erstellen. Sie können das AWS Management Console, das oder das verwenden AWS CLI, AWS Directory Service um das Verzeichnis zu erstellen. Einzelheiten dazu finden Sie unter AWS Managed Microsoft AD Verzeichnis erstellen im AWS Directory Service Administratorhandbuch.
Erstellen Sie eine Rolle AWS Identity and Access Management (IAM), die die verwaltete IAM Richtlinie verwendetAmazonRDSDirectoryServiceAccess. Die Rolle ermöglicht es AmazonRDS, Ihr Verzeichnis aufzurufen.

Damit die Rolle Zugriff gewährt, muss der Endpunkt AWS Security Token Service (AWS STS) im AWS-Region für Ihr AWS Konto aktiviert sein. AWS STS Endpunkte sind standardmäßig in allen aktiv AWS-Regionen, und Sie können sie ohne weitere Aktionen verwenden. Weitere Informationen finden Sie unter Aktivieren und Deaktivieren AWS STSAWS-Region im IAMBenutzerhandbuch.
Erstellen und konfigurieren Sie Benutzer im AWS Managed Microsoft AD Verzeichnis mithilfe der Microsoft Active Directory-Tools. Weitere Informationen zum Erstellen von Benutzern in Ihrem Active Directory finden Sie unter Verwalten von Benutzern und Gruppen in AWS verwaltetem Microsoft AD im AWS Directory Service Administratorhandbuch.
Erstellen oder ändern Sie eine My SQL DB-Instance. Wenn Sie RDS API in der Erstellungsanforderung entweder das CLI oder verwenden, geben Sie mit dem Domain Parameter eine Domänenkennung an. Verwenden Sie die d-*-ID, die bei der Erstellung Ihres Verzeichnisses generiert wurde, und den Namen der von Ihnen erstellten Rolle.

Wenn Sie eine bestehende My SQL DB-Instance so ändern, dass sie die Kerberos-Authentifizierung verwendet, legen Sie die Domänen- und IAM Rollenparameter für die DB-Instance fest. Suchen Sie die DB-Instance im selben Verzeichnis VPC wie das Domänenverzeichnis.
Verwenden Sie die Anmeldedaten des RDS Amazon-Master-Benutzers, um eine Verbindung zur My SQL DB-Instance herzustellen. Erstellen Sie den Benutzer in My SQL mithilfe der CREATE USER KlauselIDENTIFIED WITH 'auth_pam'. Benutzer, die Sie auf diese Weise erstellen, können sich mithilfe der Kerberos-Authentifizierung bei der My SQL DB-Instance anmelden.

Kerberos-Authentifizierung für My DB-Instances einrichten SQL

Sie verwenden AWS Managed Microsoft AD , um die Kerberos-Authentifizierung für eine My DB-Instance einzurichten. SQL Um die Kerberos-Authentifizierung einzurichten, führen Sie die folgenden Schritte durch.

Schritt 1: Erstellen Sie ein Verzeichnis mit AWS Managed Microsoft AD

AWS Directory Service erstellt ein vollständig verwaltetes Active Directory in der AWS Cloud. Wenn Sie ein AWS Managed Microsoft AD Verzeichnis erstellen, AWS Directory Service erstellt in Ihrem Namen zwei Domänencontroller und Domain Name System (DNS) -Server. Die Verzeichnisserver werden in verschiedenen Subnetzen in einem VPC erstellt. Diese Redundanz trägt dazu bei, dass Ihr Verzeichnis auch im Fehlerfall erreichbar bleibt.

Wenn Sie ein AWS Managed Microsoft AD Verzeichnis erstellen, AWS Directory Service führt er in Ihrem Namen die folgenden Aufgaben aus:

Richtet ein Active Directory innerhalb der einVPC.
Erstellt ein Verzeichnisadministratorkonto mit dem Benutzernamen Admin und dem angegebenen Passwort. Mit diesem Konto verwalten Sie das Verzeichnis.

Anmerkung
Achten Sie darauf, dieses Passwort zu speichern. AWS Directory Service speichert es nicht. Sie können es zurücksetzen, aber Sie können es nicht abrufen.
Erstellt eine Sicherheitsgruppe für die Verzeichniscontroller.

Wenn Sie eine starten AWS Managed Microsoft AD, AWS erstellt eine Organisationseinheit (OU), die alle Objekte Ihres Verzeichnisses enthält. Diese Organisationseinheit hat den BIOS Netznamen, den Sie bei der Erstellung Ihres Verzeichnisses eingegeben haben, und befindet sich im Domänenstamm. Der Domänenstamm gehört und wird von AWS diesem verwaltet.

Das Administratorkonto, das mit Ihrem AWS Managed Microsoft AD Verzeichnis erstellt wurde, verfügt über Berechtigungen für die gängigsten Verwaltungsaktivitäten Ihrer Organisationseinheit:

Erstellen, Aktualisieren oder Löschen von Benutzern
Hinzufügen von Ressourcen zu Ihrer Domäne, etwa Datei- oder Druckserver, und anschließendes Gewähren der zugehörigen Ressourcenberechtigungen für Benutzer in der OU
Zusätzliche OUs Container erstellen
Delegieren von Befugnissen
Wiederherstellen von gelöschten Objekten aus dem Active Directory-Papierkorb
Führen Sie AD- und DNS PowerShell Windows-Module im Active Directory-Webdienst aus

Das Admin-Konto hat außerdem die Rechte zur Durchführung der folgenden domänenweiten Aktivitäten:

DNSKonfigurationen verwalten (Datensätze, Zonen und Forwarder hinzufügen, entfernen oder aktualisieren)
DNSEreignisprotokolle anzeigen
Anzeigen von Sicherheitsereignisprotokollen

Um ein Verzeichnis zu erstellen mit AWS Managed Microsoft AD

Melden Sie sich bei an AWS Management Console und öffnen Sie die AWS Directory Service Konsole unter https://console.aws.amazon.com/directoryservicev2/.
Wählen Sie im Navigationsbereich Directories (Verzeichnisse) aus. Wählen Sie denn Set up Directory (Verzeichnis einrichten) aus.
Wählen Sie AWS Managed Microsoft AD. AWS Managed Microsoft AD ist die einzige Option, die Sie derzeit bei Amazon verwenden könnenRDS.
Geben Sie die folgenden Informationen ein:
DNSName des Verzeichnisses

Den vollständig qualifizierten Namen für das Verzeichnis, z. B. corp.example.com.

BIOSNetzname des Verzeichnisses

Die kurzen Namen für das Verzeichnis, z. B. CORP.

Verzeichnisbeschreibung

(Optional) Eine Beschreibung für das Verzeichnis.

Administratorpasswort
Das Passwort für den Verzeichnisadministrator. Während des Verzeichniserstellungsprozesses wird ein Administratorkonto mit dem Benutzernamen Admin und diesem Passwort angelegt.

Das Passwort für den Verzeichnisadministrator das nicht das Wort "admin" enthalten. Beachten Sie beim Passwort die Groß- und Kleinschreibung und es muss 8 bis 64 Zeichen lang sein. Zudem muss es mindestens ein Zeichen aus dreien der vier folgenden Kategorien enthalten:
Kleinbuchstaben (a–z)

Großbuchstaben (A–Z)

Zahlen (0–9)

Nicht-alphanumerische Zeichen (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
Passwort bestätigen

Das Administratorpasswort, das erneut eingegeben wurde.
Wählen Sie Weiter.
Geben Sie die folgenden Informationen in den Abschnitt Networking ein. Wählen Sie dann Next (Weiter) aus:

VPC

Der VPC für das Verzeichnis. Erstellen Sie die My SQL DB-Instance in derselbenVPC.

Subnetze

Subnetze für die Verzeichnisserver. Die beiden Subnetze müssen zu verschiedenen Availability-Zonen gehören.
Prüfen Sie die Verzeichnisinformationen und nehmen Sie ggf. Änderungen vor. Wenn die Informationen richtig sind, wählen Sie Create directory (Verzeichnis erstellen).

Es dauert einige Minuten, bis das Verzeichnis erstellt wurde. Wenn es erfolgreich erstellt wurde, ändert sich der Wert Status in Active (Aktiv).

Um Informationen über Ihr Verzeichnis anzuzeigen, wählen Sie den Verzeichnisnamen in der Verzeichnisliste aus. Notieren Sie sich den Wert für die Verzeichnis-ID, da Sie diesen Wert benötigen, wenn Sie Ihre My SQL DB-Instance erstellen oder ändern.

Der Abschnitt mit den Verzeichnisdetails mit der Verzeichnis-ID in der AWS Directory Service Konsole.

Schritt 2: Erstellen Sie die IAM Rolle für die Verwendung durch Amazon RDS

Damit Amazon RDS Sie anrufen AWS Directory Service kann, AmazonRDSDirectoryServiceAccess ist eine IAM Rolle erforderlich, die die verwaltete IAM Richtlinie verwendet. Diese Rolle ermöglicht es AmazonRDS, Anrufe an die zu tätigen AWS Directory Service.

Wenn eine DB-Instance mit dem erstellt wird AWS Management Console und der Konsolenbenutzer über die iam:CreateRole entsprechende Berechtigung verfügt, erstellt die Konsole diese Rolle automatisch. In diesem Fall lautet der Rollenname rds-directoryservice-kerberos-access-role. Andernfalls müssen Sie die IAM Rolle manuell erstellen. Wenn Sie diese IAM Rolle erstellenDirectory Service, wählen Sie die AWS verwaltete Richtlinie aus und fügen Sie sie ihr AmazonRDSDirectoryServiceAccess hinzu.

Weitere Informationen zum Erstellen von IAM Rollen für einen Dienst finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen für einen AWS Dienst im IAMBenutzerhandbuch.

Anmerkung

Die für die Windows-Authentifizierung für RDS for SQL Server verwendete IAM Rolle kann nicht RDS für My SQL verwendet werden.

Optional können Sie Richtlinien mit den erforderlichen Berechtigungen erstellen, anstatt die verwaltete IAM Richtlinie zu verwendenAmazonRDSDirectoryServiceAccess. In diesem Fall muss die IAM Rolle über die folgende IAM Vertrauensrichtlinie verfügen.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "directoryservice.rds.amazonaws.com",
          "rds.amazonaws.com"
        ]
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Die Rolle muss außerdem die folgende IAM Rollenrichtlinie haben.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ds:DescribeDirectories",
        "ds:AuthorizeApplication",
        "ds:UnauthorizeApplication",
        "ds:GetAuthorizedApplicationDetails"
      ],
    "Effect": "Allow",
    "Resource": "*"
    }
  ]
}

Schritt 3: Anlegen und konfigurieren von Benutzern

Sie können Benutzer mit dem Tool "Active Directory-Benutzer und -Computer" erstellen. Dieses Tool ist Teil der Tools Active Directory Domain Services und Active Directory Lightweight Directory Services. „Benutzer“ sind Einzelpersonen oder Entitäten, die Zugriff auf Ihr Verzeichnis haben.

Um Benutzer in einem AWS Directory Service Verzeichnis zu erstellen, müssen Sie mit einer EC2 Amazon-Instance verbunden sein, die auf Microsoft Windows basiert. Diese Instance muss Mitglied des AWS Directory Service Verzeichnisses sein und als Benutzer angemeldet sein, der über die Rechte zum Erstellen von Benutzern verfügt. Weitere Informationen finden Sie unter Verwalten von Benutzern und Gruppen AWS Managed Microsoft AD im AWS Directory-Service-Administrationshandbuch.

Schritt 4: Erstellen oder ändern Sie eine My SQL DB-Instance

Erstellen oder ändern Sie eine My SQL DB-Instance zur Verwendung mit Ihrem Verzeichnis. Sie können die Konsole oder verwendenCLI, RDS API um eine DB-Instance einem Verzeichnis zuzuordnen. Sie können dafür eine der folgenden Möglichkeiten auswählen:

Erstellen Sie mithilfe der Konsole, des create-db-instanceCLIBefehls oder der reateDBInstanceRDSAPIC-Operation eine neue My SQL DB-Instance.

Detaillierte Anweisungen finden Sie unter Eine Amazon RDS DB-Instance erstellen.
Ändern Sie eine vorhandene My SQL DB-Instance mithilfe der Konsole, des modify-db-instanceCLIBefehls oder der odifyDBInstanceRDSAPIM-Operation.

Detaillierte Anweisungen finden Sie unter Ändern einer Amazon RDS DB-Instance.
Stellen Sie mithilfe der Konsole, des CLI Befehls restore-db-instance-from-db-snapshot oder der R estoreDBInstance F-Operation eine My SQL DB-Instance aus einem DB-Snapshot wieder her. romDBSnapshot RDS API

Detaillierte Anweisungen finden Sie unter Wiederherstellung auf einer DB-Instance.
Stellen Sie eine My SQL DB-Instance point-in-time mithilfe der Konsole, des point-in-time CLI Befehls restore-db-instance-to- oder der estoreDBInstanceToPointInTimeRDSAPIR-Operation auf a wieder her.

Detaillierte Anweisungen finden Sie unter Wiederherstellung einer DB-Instance zu einem bestimmten Zeitpunkt für Amazon RDS.

Die Kerberos-Authentifizierung wird nur für My SQL DB-Instances in a unterstützt. VPC Die DB-Instance kann sich im selben Verzeichnis VPC wie das Verzeichnis oder in einem anderen befinden. VPC Die DB-Instance muss eine Sicherheitsgruppe verwenden, die den Ausgang innerhalb der Verzeichnisse ermöglicht, VPC damit die DB-Instance mit dem Verzeichnis kommunizieren kann.

Wenn Sie die Konsole verwenden, ändern oder wiederherstellen, um eine DB-Instance zu erstellen, wählen Sie im Abschnitt Datenbankauthentifizierung die Option Passwort- und Kerberos-Authentifizierung aus. Wählen Sie Verzeichnis durchsuchen und dann das Verzeichnis aus, oder klicken Sie auf Neues Verzeichnis erstellen.

Der Abschnitt Datenbankauthentifizierung mit Passwort und Kerberos-Authentifizierung, die in der RDS Amazon-Konsole ausgewählt ist.

Wenn Sie das AWS CLI oder verwenden RDSAPI, ordnen Sie eine DB-Instance einem Verzeichnis zu. Die folgenden Parameter sind erforderlich, damit die DB-Instance das von Ihnen erstellte Domain-Verzeichnis verwendet:

Für den --domain-Parameter verwenden Sie den Domänenbezeichner („d-*“-Bezeichner), der beim Erstellen des Verzeichnisses generiert wurde.
Verwenden Sie für den --domain-iam-role-name Parameter die Rolle, die Sie erstellt haben und die die verwaltete IAM Richtlinie verwendetAmazonRDSDirectoryServiceAccess.

Mit dem folgenden CLI Befehl wird beispielsweise eine DB-Instance so geändert, dass sie ein Verzeichnis verwendet.

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Linux, macOS, oder Unix:


aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --domain d-ID \
    --domain-iam-role-name role-name

Wählen Sie in der &Snowconsole; Ihren Auftrag aus der Tabelle. Windows:


aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --domain d-ID ^
    --domain-iam-role-name role-name

Wichtig

Wenn Sie eine DB-Instance zur Aktivierung der Kerberos-Authentifizierung ändern, starten Sie die DB-Instance neu, nachdem Sie die Änderung vorgenommen haben.

Schritt 5: Kerberos-Authentifizierung erstellen Meine Logins SQL

Verwenden Sie die Anmeldedaten des RDS Amazon-Master-Benutzers, um wie bei jeder anderen SQL DB-Instance eine Verbindung zur My DB-Instance herzustellen. Die DB-Instance ist mit der AWS Managed Microsoft AD Domain verbunden. Somit können Sie Meine SQL Logins und Benutzer von den Active Directory-Benutzern in Ihrer Domäne bereitstellen. Datenbankberechtigungen werden über die SQL Standardberechtigungen „Meine“ verwaltet, die diesen Anmeldungen erteilt oder entzogen werden.

Sie können einem Active Directory-Benutzer erlauben, sich bei My zu authentifizieren. SQL Verwenden Sie dazu zunächst die RDS Masterbenutzeranmeldedaten von Amazon, um sich wie bei jeder anderen SQL DB-Instance mit der My DB-Instance zu verbinden. Nachdem Sie angemeldet sind, erstellen Sie einen extern authentifizierten Benutzer mit PAM (Pluggable Authentication Modules) in My, SQL indem Sie den folgenden Befehl ausführen. Ersetzen Sie testuser durch den Benutzernamen.


CREATE USER 'testuser'@'%' IDENTIFIED WITH 'auth_pam';

Benutzer (sowohl Menschen als auch Anwendungen) aus Ihrer Domäne können sich nun von einem mit der Domäne verbundenen Client-Rechner aus mit Hilfe der Kerberos-Authentifizierung mit der DB-Instance verbinden.

Wichtig

Es wird dringend empfohlen, dass Clients bei der Authentifizierung SSL TLS /-Verbindungen verwenden. PAM Wenn sie keine SSL TLS /-Verbindungen verwenden, wird das Passwort in einigen Fällen möglicherweise als Klartext gesendet. Um eine mitSSL/TLSverschlüsselte Verbindung für Ihren AD-Benutzer zu verlangen, führen Sie den folgenden Befehl aus und testuser ersetzen Sie ihn durch den Benutzernamen:


ALTER USER 'testuser'@'%' REQUIRE SSL;

Weitere Informationen finden Sie unter SSL/TLSUnterstützung für My SQL DB-Instances auf Amazon RDS.

Verwalten einer DB-Instance in einer Domäne

Sie können das CLI oder das verwenden RDSAPI, um Ihre DB-Instance und ihre Beziehung zu Ihrem verwalteten Active Directory zu verwalten. Sie können z. B. ein Active Directory für die Kerberos-Authentifizierung zuordnen und ein Active Directory trennen, um die Kerberos-Authentifizierung zu deaktivieren. Sie können auch eine DB-Instance, die extern von einem Active Directory authentifiziert werden soll, in ein anderes Active Directory verschieben.

Mit Amazon können Sie RDS API beispielsweise Folgendes tun:

Um erneut zu versuchen, die Kerberos-Authentifizierung für eine fehlgeschlagene Mitgliedschaft zu aktivieren, verwenden Sie den ModifyDBInstance API Vorgang und geben Sie die Verzeichnis-ID der aktuellen Mitgliedschaft an.
Um den IAM Rollennamen für die Mitgliedschaft zu aktualisieren, verwenden Sie den ModifyDBInstance API Vorgang und geben Sie die Verzeichnis-ID der aktuellen Mitgliedschaft und die neue Rolle an. IAM
Um die Kerberos-Authentifizierung auf einer DB-Instance zu deaktivieren, verwenden Sie den ModifyDBInstance API Vorgang und geben Sie none als Domänenparameter an.
Um eine DB-Instance von einer Domäne in eine andere zu verschieben, verwenden Sie den ModifyDBInstance API Vorgang und geben Sie die Domänenkennung der neuen Domäne als Domänenparameter an.
Verwenden Sie den DescribeDBInstances API Vorgang, um die Mitgliedschaft für jede DB-Instance aufzulisten.

Grundlegendes zur Domänenmitgliedschaft

Nachdem Sie Ihre DB-Instance erstellt oder geändert haben, wird sie Mitglied der Domäne. Sie können den Status der Domänenmitgliedschaft für die DB-Instance anzeigen, indem describe-db-instancesCLISie den Befehl ausführen. Der Status der DB-Instance kann einer der folgenden sein:

kerberos-enabled – Für die DB-Instance ist die Kerberos-Authentifizierung aktiviert.
enabling-kerberos— AWS ist dabei, die Kerberos-Authentifizierung für diese DB-Instance zu aktivieren.
pending-enable-kerberos – Die Aktivierung der Kerberos-Authentifizierung in dieser DB-Instance steht aus.
pending-maintenance-enable-kerberos— AWS wird versuchen, die Kerberos-Authentifizierung auf der DB-Instance während des nächsten geplanten Wartungsfensters zu aktivieren.
pending-disable-kerberos – Die Deaktivierung der Kerberos-Authentifizierung in dieser DB-Instance steht aus.
pending-maintenance-disable-kerberos— AWS wird versuchen, die Kerberos-Authentifizierung auf der DB-Instance während des nächsten geplanten Wartungsfensters zu deaktivieren.
enable-kerberos-failed – Ein Konfigurationsproblem hat AWS daran gehindert, die Kerberos-Authentifizierung auf der DB-Instance zu aktivieren. Überprüfen und korrigieren Sie Ihre Konfiguration, bevor Sie den Befehl zu Änderung der DB-Instance erneut ausführen.
disabling-kerberos— AWS ist dabei, die Kerberos-Authentifizierung auf dieser DB-Instance zu deaktivieren.

Eine Anfrage zur Aktivierung der Kerberos-Authentifizierung kann aufgrund eines Problems mit der Netzwerkverbindung oder einer falschen Rolle fehlschlagen. IAM Angenommen, Sie erstellen eine DB-Instance oder ändern eine vorhandene DB-Instance und der Versuch, die Kerberos-Authentifizierung zu aktivieren, schlägt fehl. Wenn dies geschieht, führen Sie den Ändern-Befehl erneut aus oder ändern Sie die neu erstellte DB-Instance, um der Domäne beizutreten.

Mit Kerberos-Authentifizierung eine Verbindung zu My SQL herstellen

Um SQL mit Kerberos-Authentifizierung eine Verbindung zu My herzustellen, müssen Sie sich mit dem Kerberos-Authentifizierungstyp anmelden.

Um einen Datenbankbenutzer zu erstellen, zu dem Sie eine Verbindung mit der Kerberos-Authentifizierung herstellen können, verwenden Sie eine IDENTIFIED WITH-Klausel in der CREATE USER-Anweisung. Detaillierte Anweisungen finden Sie unter Schritt 5: Kerberos-Authentifizierung erstellen Meine Logins SQL.

Um Fehler zu vermeiden, sollten Sie den MariaDB-mysql-Client verwenden. Sie können die MariaDB-Software unter https://downloads.mariadb.org/ herunterladen.

Stellen Sie in einer Befehlszeile eine Verbindung zu einem der Endpunkte her, die Ihrer My DB-Instance zugeordnet sind. SQL Befolgen Sie die allgemeinen Verfahren in Verbindung zu einer DB-Instance herstellen, auf der die My SQL Database-Engine ausgeführt wird. Wenn Sie zur Eingabe des Passworts aufgefordert werden, geben Sie es mit diesem Benutzernamen verknüpfte Kerberos-Passwort ein.

Eine My SQL DB-Instance wiederherstellen und zu einer Domain hinzufügen

Sie können einen DB-Snapshot point-in-time wiederherstellen oder eine Wiederherstellung für eine My SQL DB-Instance abschließen und sie dann einer Domain hinzufügen. Nachdem die DB-Instance wiederhergestellt wurde, modifizieren Sie die DB-Instance mit dem in Schritt 4: Erstellen oder ändern Sie eine My SQL DB-Instance erklärten Prozess, um die DB-Instance zu einer Domäne hinzuzufügen.

Kerberos-Authentifizierung Meine Einschränkungen SQL

Die folgenden Einschränkungen gelten für die Kerberos-Authentifizierung für My: SQL

Nur Kan AWS Managed Microsoft AD wird unterstützt. Sie können jedoch RDS für My SQL DB-Instances gemeinsam genutzten verwalteten Microsoft AD-Domänen beitreten, die verschiedenen Konten in ein und demselben Konto gehören AWS-Region.
Sie müssen die DB-Instance neu starten, nachdem Sie die Funktion aktiviert haben.
Die Länge des Domänennamens darf nicht länger als 61 Zeichen sein.
Sie können die Kerberos-Authentifizierung und die IAM Kerberos-Authentifizierung nicht gleichzeitig aktivieren. Wählen Sie die eine oder andere Authentifizierungsmethode für Ihre My SQL DB-Instance.
Ändern Sie den DB-Instance-Port nicht, nachdem Sie die Funktion aktiviert haben.
Verwenden Sie keine Kerberos-Authentifizierung mit Lesereplikaten.
Wenn Sie das auto Upgrade der Nebenversion für eine My SQL DB-Instance aktiviert haben, die die Kerberos-Authentifizierung verwendet, müssen Sie die Kerberos-Authentifizierung ausschalten und sie nach einem automatischen Upgrade wieder einschalten. Weitere Informationen zu kleineren automatischen Versionsaktualisierungen finden Sie unter Automatische Upgrades für kleinere Versionen für RDS für My SQL.
Um eine DB-Instance bei aktivierter Funktion zu löschen, deaktivieren Sie zuerst die Funktion. Verwenden Sie dazu den modify-db-instance CLI Befehl für die DB-Instance und geben Sie none den Parameter an. --domain

Wenn Sie das CLI oder verwenden RDSAPI, um eine DB-Instance zu löschen, bei der diese Funktion aktiviert ist, müssen Sie mit einer Verzögerung rechnen.
RDSfor My unterstützt SQL keine Kerberos-Authentifizierung in einer Gesamtstruktur zwischen Ihrem lokalen oder selbst gehosteten AD und dem. AWS Managed Microsoft AD

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Neue SSL TLS /-Zertifikate verwenden

Verbesserung der Abfrageleistung mit RDS Optimized Reads