Uso de la autenticación Kerberos con Aurora PostgreSQL - Amazon Aurora
Disponibilidad en regiones y versionesInformación general de la autenticación Kerberos

Uso de la autenticación Kerberos con Aurora PostgreSQL

Puede usar Kerberos para autenticar a los usuarios cuando se conecten a su clúster de base de datos en la que se ejecuta PostgreSQL. Para ello, configure el clúster de base de datos para utilizar AWS Directory Service for Microsoft Active Directory para la autenticación Kerberos. AWS Directory Service for Microsoft Active Directory también se denomina AWS Managed Microsoft AD. Es una función disponible con AWS Directory Service. Para obtener más información, consulte ¿Qué esAWS Directory Service? en la Guía de administración de AWS Directory Service.

Para empezar, cree un directorio de AWS Managed Microsoft AD para almacenar las credenciales de usuario. A continuación, proporcione a su clúster de base de datos de PostgreSQL el dominio de Active Directory y otra información. Cuando los usuarios se autentican con la de clúster de base de datos de PostgreSQL, las solicitudes de autenticación se reenvían al directorio AWS Managed Microsoft AD.

Mantener todas las credenciales en el mismo directorio puede ahorrarle tiempo y esfuerzo. Tiene un lugar centralizado para almacenar y administrar credenciales para varios clústeres de bases de datos. El uso de un directorio también puede mejorar su perfil de seguridad general.

Además, puede acceder a las credenciales desde su propio Microsoft Active Directory en las instalaciones. Para ello, cree una relación de dominio de confianza para que el directorio de AWS Managed Microsoft AD confíe en su Microsoft Active Directory en las instalaciones. De esta manera, los usuarios pueden acceder a las instancias de los clústeres con la misma experiencia de inicio de sesión único (SSO) de Windows que cuando acceden a cargas de trabajo en las instalaciones.

Una base de datos puede usar la autenticación de Kerberos, de AWS Identity and Access Management (IAM), o ambas. Sin embargo, dado que la autenticación de Kerberos y de IAM proporcionan diferentes métodos de autenticación, un usuario específico puede iniciar sesión en una base de datos mediante solo uno u otro método de autenticación, pero no ambos. Para obtener más información acerca de la autenticación IAM, consulte Autenticación de bases de datos de IAM .

Temas

Disponibilidad en regiones y versiones

La disponibilidad de las características varía según las versiones específicas de cada motor de base de datos y entre Regiones de AWS. Para obtener más información sobre la disponibilidad en versiones y regiones de Aurora PostgreSQL con autenticación Kerberos, consulte Autenticación Kerberos con con Aurora PostgreSQL.

Información general de la autenticación Kerberos para clústeres de base de datos de PostgreSQL

Para configurar la autenticación Kerberos para un clúster de base de datos de PostgreSQL, complete los siguientes pasos generales, que se describen con más detalle más adelante:

  1. Utilice AWS Managed Microsoft AD para crear un directorio de AWS Managed Microsoft AD. Puede utilizar la AWS Management Console, la AWS CLI o la API de AWS Directory Service para crear el directorio. Asegúrese de abrir los puertos de salida relevantes en el grupo de seguridad del directorio para que el directorio pueda comunicarse con el clúster.

  2. Cree un rol que proporcione a Amazon Aurora acceso para realizar llamadas a su directorio de AWS Managed Microsoft AD. Para ello, cree un rol de AWS Identity and Access Management (IAM) que utilice la política administrada de IAM AmazonRDSDirectoryServiceAccess.

    Para que el rol de IAM permita el acceso, el punto de enlace AWS Security Token Service (AWS STS) debe activarse en la región de AWS correcta para su cuenta de AWS. Los puntos de conexión de AWS STS están activos de forma predeterminada en todas las Regiones de AWS y puede usarlos sin ninguna acción posterior. Para obtener más información, consulte Activación y desactivación de AWS STS en una región de AWS en la Guía del usuario de IAM.

  3. Cree y configure usuarios en el directorio de AWS Managed Microsoft AD usando las herramientas de Microsoft Active Directory. Para obtener más información sobre la creación de usuarios en su Active Directory, consulte Administrar usuarios y grupos en AWS Managed Microsoft AD en la Guía de administración de AWS Directory Service.

  4. Si piensa localizar el directorio y la instancia de base de datos en diferentes cuentas de AWS o nubes virtuales privadas (VPC), configure la interconexión de VPC. Para obtener más información, consulte ¿Qué es una interconexión de VPC? en la Amazon VPC Peering Guide.

  5. Cree o modifique un clúster de base de datos de PostgreSQL desde la consola, la CLI o la API de RDS utilizando uno de los siguientes métodos:

    Puede localizar el clúster en la misma Amazon Virtual Private Cloud (VPC) que el directorio o en una VPC o cuenta de AWS diferente. Cuando cree o modifique el clúster de base de datos de PostgreSQL, haga lo siguiente:

    • Proporcione el identificador de dominio (identificador d-*) que se generó cuando creó el directorio.

    • Proporcione el nombre del rol de IAM que ha creado.

    • Asegúrese de que el grupo de seguridad de la instancia de base de datos pueda recibir tráfico de entrada del grupo de seguridad del directorio.

  6. Use las credenciales de usuario maestro de RDS para conectarse al clúster de base de datos de PostgreSQL. Cree el usuario en PostgreSQL para que sea identificado externamente. Los usuarios identificados externamente pueden iniciar sesión en el clúster de base de datos de PostgreSQL utilizando la autenticación Kerberos.