Utilisation de l'authentification Kerberos avec Amazon RDS for PostgreSQL - Amazon Relational Database Service
Disponibilité des régions et des versionsPrésentation de l'authentification Kerberos

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de l'authentification Kerberos avec Amazon RDS for PostgreSQL

Vous pouvez utiliser Kerberos pour authentifier les utilisateurs lorsqu'ils se connectent à votre instance de bases de données qui exécute PostgreSQL. Pour ce faire, vous configurez votre instance de bases de données afin d'utiliser AWS Directory Service for Microsoft Active Directory pour l'authentification Kerberos. AWS Directory Service for Microsoft Active Directory est également appelé AWS Managed Microsoft AD. Cette fonction est disponible avec AWS Directory Service. Pour en savoir plus, consultez Qu'est-ce qu'AWS Directory Service ? dans le Guide d'administration AWS Directory Service.

Pour démarrer, créez un annuaire AWS Managed Microsoft AD pour stocker les informations d'identification utilisateur. Vous fournissez ensuite à votre instance de bases de données PostgreSQL le domaine d'Active Directory ainsi que d'autres informations. Lorsque les utilisateurs s'authentifient auprès de l'instance de de bases de données PostgreSQL, les demandes d'authentification sont transférées vers l'annuaire AWS Managed Microsoft AD.

Vous pouvez gagner du temps et de l'argent en conservant toutes les informations d'identification dans le même annuaire. Vous avez un endroit centralisé de stockage et de gestion des informations d'identification pour plusieurs instances de base de données. L'utilisation d'un annuaire peut également améliorer votre profil de sécurité global.

Vous pouvez également accéder aux informations d'identification à partir de votre propre annuaire Microsoft Active Directory sur site. Pour ce faire, vous créez une relation de domaine d'approbation afin que l'annuaire AWS Managed Microsoft AD approuve votre annuaire Microsoft Active Directory sur site. De cette façon, vos utilisateurs peuvent accéder à vos instances PostgreSQL avec la même expérience d'authentification unique (SSO) Windows que lorsqu'ils accèdent aux charges de travail de votre réseau sur site.

Une base de données peut utiliser l'authentification par mot de passe ou l'authentification par mot de passe avec Kerberos ou l'authentification AWS Identity and Access Management (IAM). Pour plus d'informations sur l'authentification IAM, veuillez consulter Authentification de base de données IAM pour MariaDB, MySQL et PostgreSQL.

Rubriques

Disponibilité des régions et des versions

La disponibilité et la prise en charge des fonctionnalités varient selon les versions spécifiques de chaque moteur de base de données, et selon les Régions AWS. Pour obtenir plus d'informations sur la disponibilité des versions et des régions de RDS pour PostgreSQL avec authentification Kerberos, consultez Régions et moteurs de base de données pris en charge pour l'authentification Kerberos dans Amazon RDS.

Présentation de l'authentification Kerberos pour les instances de base de données PostgreSQL

Pour configurer l'authentification Kerberos pour une instance de base de données PostgreSQL, exécutez les étapes suivantes, décrites plus en détails par la suite :

  1. Utilisez AWS Managed Microsoft AD pour créer un annuaire AWS Managed Microsoft AD. Vous pouvez utiliser AWS Management Console, AWS CLI ou l'API AWS Directory Service pour créer l'annuaire. Veillez à ouvrir les ports sortants appropriés sur le groupe de sécurité de répertoire afin que le répertoire puisse communiquer avec l'instance.

  2. Créez un rôle fournissant l'accès à Amazon RDS pour appeler votre répertoire AWS Managed Microsoft AD. Pour cela, créez un rôle AWS Identity and Access Management (IAM) qui utilise la politique IAM gérée AmazonRDSDirectoryServiceAccess.

    Pour que le rôle IAM autorise l'accès, le point de terminaison AWS Security Token Service (AWS STS) doit être activé dans la région AWS correcte pour votre compte AWS. Les points de terminaison AWS STS sont actifs par défaut dans toutes les Régions AWS et vous pouvez les utiliser sans qu'aucune autre action soit nécessaire. Pour plus d'informations, consultez Activation et désactivation deAWS STS dans une région AWS dans le Guide de l'utilisateur IAM.

  3. Créez et configurez les utilisateurs dans l'annuaire AWS Managed Microsoft AD à l'aide des outils Microsoft Active Directory. Pour plus d'informations sur la création d'utilisateurs dans votre Active Directory, consultez Gérer les utilisateurs et les groupes dans Microsoft AD géré par AWS dans le Guide d'administration AWS Directory Service.

  4. Si vous avez l'intention de rechercher l'annuaire et l'instance de base de données dans des comptes AWS ou des VPC (Virtual Private Cloud) différents, configurez l'appairage des VPC. Pour plus d'informations, consultez Qu'est-ce que l'appairage de VPC ? dans le Guide d'appairage de VPC Amazon.

  5. Créez ou modifiez une instance de base de données PostgreSQL depuis la console, la CLI ou l'API RDS à l'aide de l'une des méthodes suivantes :

    Vous pouvez rechercher l'instance dans le même Amazon Virtual Private Cloud (VPC) que le répertoire, ou dans un autre compte ou un VPC AWS. Lors de la création ou de la modification de l'instance de base de données PostgreSQL, procédez comme suit :

    • Fournissez l'identifiant du domaine (identifiant d-*) qui a été généré lors de la création de votre annuaire.

    • Fournissez le nom du rôle IAM que vous avez créé.

    • Veillez à ce que le groupe de sécurité de l'instance de base de données puisse recevoir le trafic entrant depuis le groupe de sécurité de l'annuaire.

  6. Utilisez les informations d'identification de l'utilisateur principal RDS pour vous connecter à l'instance de base de données PostgreSQL. Créez l'utilisateur dans PostgreSQL en vue de son identification externe. Les utilisateurs identifiés en externe peuvent se connecter à l'instance de base de données PostgreSQL à l'aide de l'authentification Kerberos.