Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Verwenden der Kerberos-Authentifizierung mit AWS Database Migration Service

Fokusmodus
Verwenden der Kerberos-Authentifizierung mit AWS Database Migration Service - AWS Database Migration Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ab DMS Version 3.5.3 können Sie Ihren Oracle- oder SQL Server-Quellendpunkt so konfigurieren, dass er mithilfe der Kerberos-Authentifizierung eine Verbindung zu Ihrer Datenbank-Instance herstellt. DMSunterstützt AWS Directory Service die Microsoft Active Directory- und Kerberos-Authentifizierung. Weitere Informationen zum AWS verwalteten Zugriff auf Microsoft Active Directory Services finden Sie unter Was ist AWS Directory Service? .

AWS DMS Überblick über die Kerberos-Authentifizierungsarchitektur

Das folgende Diagramm bietet einen allgemeinen Überblick über den AWS DMS Kerberos-Authentifizierungsworkflow.

Architektur der Kerberos-Authentifizierung

Einschränkungen bei der Verwendung der Kerberos-Authentifizierung mit AWSAWS DMS

Die folgenden Einschränkungen gelten bei der Verwendung der Kerberos-Authentifizierung mit: AWS AWS DMS

  • DMSReplikationsinstanzen unterstützen eine krb5.conf Kerberos-Datei und eine Keycache-Datei.

  • Sie müssen die Kerberos-Keycache-Datei in Secrets Manager mindestens 30 Minuten vor Ablauf des Tickets aktualisieren.

  • Ein Kerberos-fähiger DMS Endpunkt funktioniert nur mit einer Kerberos-fähigen Replikationsinstanz. DMS

Voraussetzungen

Zu Beginn müssen Sie die folgenden Voraussetzungen auf einem vorhandenen Active Directory- oder Kerberos-authentifizierten Host erfüllen:

  • Richten Sie eine Active Directory-Vertrauensstellung mit Ihrem lokalen AD ein. Weitere Informationen finden Sie unter Tutorial: Erstellen Sie eine Vertrauensbeziehung zwischen Ihrem AWS verwalteten Microsoft AD und Ihrer selbstverwalteten Active Directory-Domäne.

  • Bereiten Sie eine vereinfachte Version der krb5.conf Kerberos-Konfigurationsdatei vor. Fügen Sie Informationen über den Bereich, den Standort der Domain-Admin-Server und Zuordnungen von Hostnamen zu einem Kerberos-Bereich hinzu. Sie müssen überprüfen, ob der krb5.conf Inhalt mit der richtigen Groß- und Kleinschreibung für die Realms- und Domänenbereichsnamen formatiert ist. Beispielsweise:

    [libdefaults] dns_lookup_realm = true dns_lookup_kdc = true forwardable = true default_realm = MYDOMAIN.ORG [realms] MYDOMAIN.ORG = { kdc = mydomain.org admin_server = mydomain.org } [domain_realm] .mydomain.org = MYDOMAIN.ORG mydomain.org = MYDOMAIN.ORG
  • Bereiten Sie eine Kerberos-Keycache-Datei vor. Die Datei enthält temporäre Kerberos-Anmeldeinformationen mit den Client-Prinzipalinformationen. Die Datei speichert das Passwort des Clients nicht. Ihre DMS Aufgabe verwendet diese Cache-Ticketinformationen, um zusätzliche Anmeldeinformationen ohne Passwort abzurufen. Führen Sie die folgenden Schritte auf einem vorhandenen Active Directory- oder Kerberos-authentifizierten Host aus, um eine Keycache-Datei zu generieren.

  • Speichern Sie die Kerberos-Keycache-Datei mit dem Parameter in Secrets Manager. SecretBinary Wenn Sie die Keycache-Datei in Secrets Manager hochladen, DMS ruft sie ab und aktualisiert dann die lokale Cache-Datei etwa alle 30 Minuten. Wenn die lokale Keycache-Datei den vordefinierten Ablaufzeitstempel überschreitet, wird die Aufgabe ordnungsgemäß beendetDMS. Um Authentifizierungsfehler während einer laufenden Replikationsaufgabe zu vermeiden, aktualisieren Sie die Keycache-Datei in Secrets Manager mindestens 30 Minuten vor Ablauf des Tickets. Weitere Informationen finden Sie unter createsecret in der Secrets Manager Manager-Referenz. API Das folgende AWS CLI Beispiel zeigt, wie die Keycache-Datei im Binärformat in Secrets Manager gespeichert wird:

    aws secretsmanager create-secret —name keycache —secret-binary fileb://keycachefile
  • Erteilen Sie einer IAM Rolle die DescribeSecret Berechtigungen GetSecretValue und, um die Keycache-Datei von Secrets Manager abzurufen. Stellen Sie sicher, dass die IAM Rolle die dms-vpc-role Vertrauensrichtlinie enthält. Weitere Informationen zur dms-vpc-role Vertrauensrichtlinie finden Sie unterDie IAM Rollen für die Verwendung mit erstellen AWS DMS.

Das folgende Beispiel zeigt eine IAM Rollenrichtlinie mit dem Secrets Manager GetSecretValue und DescribeSecret Berechtigungen. Der <keycache_secretsmanager_arn> Wert ist der Keycache Secrets Manager, den ARN Sie im vorherigen Schritt erstellt haben.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "secretsmanager:GetSecretValue", "secretsmanager:DescribeSecret" ], "Resource": [ <keycache_secretsmanager_arn> ] } ] }

Kerberos-Unterstützung auf einer Replikationsinstanz aktivieren AWS DMS

Kerberos-Bereiche sind identisch mit Domänen in Windows. Um einen Prinzipalbereich aufzulösen, stützt sich Kerberos auf einen Domain Name Service (). DNS Wenn Sie den dns-name-servers Parameter festlegen, verwendet Ihre Replikationsinstanz Ihre vordefinierten benutzerdefinierten DNS Server, um die Kerberos-Domänenbereiche aufzulösen. Eine weitere alternative Option zur Lösung von Kerberos-Realm-Abfragen besteht darin, Amazon Route 53 auf der Replikationsinstanz Virtual Private Cloud () VPC zu konfigurieren. Weitere Informationen finden Sie unter Route 53.

Aktivierung der Kerberos-Unterstützung auf einer DMS Replikationsinstanz mit dem AWS Management Console

Um die Kerberos-Unterstützung über die Konsole zu aktivieren, geben Sie die folgenden Informationen im Abschnitt Kerberos-Authentifizierung auf der Seite Replikationsinstanz erstellen oder Replikationsinstanz ändern ein:

  • Der Inhalt Ihrer Datei krb5.conf

  • Das ARN Secrets Manager Manager-Geheimnis, das die Keycache-Datei enthält

  • Die ARN IAM Rolle, die Zugriff auf den Secret Manager ARN und die Rechte zum Abrufen der Keycache-Datei hat

Aktivierung der Kerberos-Unterstützung auf einer DMS Replikationsinstanz mithilfe der AWS CLI

Mit dem folgenden AWS CLI Beispielaufruf wird eine private DMS Replikationsinstanz mit Kerberos-Unterstützung erstellt. Die Replikationsinstanz verwendet eine benutzerdefinierte InstanzDNS, um den Kerberos-Bereich aufzulösen. Weitere Informationen finden Sie unter create-replication-instance.

aws dms create-replication-instance --replication-instance-identifier my-replication-instance --replication-instance-class dms.t2.micro --allocated-storage 50 --vpc-security-group-ids sg-12345678 --engine-version 3.5.4 --no-auto-minor-version-upgrade --kerberos-authentication-settings'{"KeyCacheSecretId":<secret-id>,"KeyCacheSecretIamArn":<secret-iam-role-arn>,"Krb5FileContents":<krb5.conf file contents>}' --dns-name-servers <custom dns server> --no-publicly-accessible

Aktivierung der Kerberos-Unterstützung auf einem Quellendpunkt

Bevor Sie die Kerberos-Authentifizierung auf einem DMS Oracle- oder SQL Server-Quellendpunkt aktivieren, stellen Sie sicher, dass Sie sich mit dem Kerberos-Protokoll von einem Client-Computer aus bei der Quelldatenbank authentifizieren können. Sie können die AWS DMS Diagnose verwendenAMI, um eine EC2 Amazon-Instance auf derselben VPC wie die Replikationsinstanz zu starten und dann die Kerberos-Authentifizierung zu testen. Weitere Informationen zu AMIfinden Sie unter Arbeiten mit dem AWS DMS Diagnosesupport AMI.

Verwenden der AWS DMS-Konsole

Wählen Sie unter Zugriff auf die Endpunktdatenbank die Option Kerberos-Authentifizierung aus.

Verwenden Sie den AWS CLI

Geben Sie den Endpunkteinstellungsparameter und die AuthenticationMethod Option als Kerberos an. Beispielsweise:

Oracle

aws dms create-endpoint --endpoint-identifier my-endpoint --endpoint-type source --engine-name oracle --username dmsuser@MYDOMAIN.ORG --server-name mydatabaseserver --port 1521 --database-name mydatabase --oracle-settings "{\"AuthenticationMethod\": \"kerberos\"}"

SQLServer

aws dms create-endpoint --endpoint-identifier my-endpoint --endpoint-type source --engine-name sqlserver --username dmsuser@MYDOMAIN.ORG --server-name mydatabaseserver --port 1433 --database-name mydatabase --microsoft-sql-server-settings "{\"AuthenticationMethod\": \"kerberos\"}"

Testen eines Quellendpunkts

Sie müssen den Kerberos-fähigen Endpunkt anhand einer Kerberos-fähigen Replikationsinstanz testen. Wenn Sie die Replikationsinstanz oder den Quellendpunkt nicht ordnungsgemäß für die Kerberos-Authentifizierung konfigurieren, schlägt die Endpunktaktion fehl und es kann zu Kerberos-bezogenen Fehlern kommen. test-connection Weitere Informationen finden Sie unter Test-Verbindung.

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.