Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di Autenticazione Kerberos con Aurora PostgreSQL
Puoi utilizzare Kerberos per autenticare gli utenti quando si connettonoal cluster di database che esegue PostgreSQL. A tale scopo, configura il cluster di database in modo da utilizzare AWS Directory Service for Microsoft Active Directory per l'autenticazione Kerberos. AWS Directory Service for Microsoft Active Directory è anche chiamato AWS Managed Microsoft AD. È una funzionalità disponibile con AWS Directory Service. Per ulteriori informazioni, consultare Che cos'è AWS Directory Service?nella Guida di amministrazione di AWS Directory Service.
Per iniziare, crea una directory AWS Managed Microsoft AD in cui archiviare le credenziali utente. Per il cluster di database PostgreSQL, specifica quindi il dominio di Active Directory e altre informazioni. Quando gli utenti eseguono l'autenticazione con il cluster database PostgreSQL, le richieste di autenticazione vengono inoltrate alla directory AWS Managed Microsoft AD.
Mantenere tutte le credenziali nella stessa directory consente di ridurre il tempo e l'impegno. È disponibile una posizione centralizzata per archiviare e gestire le credenziali per più cluster di database. L'uso di una directory può inoltre migliorare il profilo di sicurezza complessivo.
Puoi inoltre accedere alle credenziali da Microsoft Active Directory on-premise. A tale scopo, crea una relazione di dominio trusting in modo che la directory AWS Managed Microsoft AD consideri attendibile Microsoft Active Directory on-premise. In questo modo, gli utenti possono accedere ai cluster PostgreSQL con la stessa esperienza SSO (Single Sign-On) Windows dei carichi di lavoro nella rete locale.
Un database può usare Kerberos, AWS Identity and Access Management (IAM) o autenticazione Kerberos e IAM insieme. Tuttavia, poiché l'autenticazione Kerberos e IAM forniscono metodi di autenticazione diversi, un utente del database specifico può accedere a un database utilizzando solo uno o l'altro metodo di autenticazione, ma non entrambi. Per ulteriori informazioni sull'autenticazione IAM, consulta Autenticazione del database IAM .
Argomenti
Panoramica di Autenticazione Kerberos per cluster di database di PostgreSQL
Configurazione dell'autenticazione Kerberos per cluster di database di PostgreSQL
Gestione di un cluster Aurora Postgre SQL DB RDS per un'istanza DB Postgre
Utilizzo dei gruppi di sicurezza AD per il controllo degli accessi di Aurora SQL Postgree
Disponibilità di regioni e versioni
Il supporto varia a seconda delle versioni specifiche di ciascun motore di database e a seconda delle Regioni AWS. Per ulteriori informazioni sulla disponibilità di versioni e regioni di Aurora PostgreSQL con autenticazione Kerberos, consultare Autenticazione Kerberos con Aurora Postgre SQL.
Panoramica di Autenticazione Kerberos per cluster di database di PostgreSQL
Per configurare l'autenticazione Kerberos per un cluster di database di PostgreSQL, segui queste fasi, descritte dettagliatamente più avanti:
-
Utilizza AWS Managed Microsoft AD per creare una directory AWS Managed Microsoft AD. Puoi utilizzare la AWS Management Console, AWS CLI o l'API AWS Directory Service per creare la directory. Assicurati di aprire le porte in uscita rilevanti nel gruppo di sicurezza della directory in modo che la directory possa comunicare con l'del cluster.
-
Crea un ruolo che fornisca l'accesso Amazon Aurora per effettuare chiamate alla directory AWS Managed Microsoft AD. Per far ciò, crea un ruolo AWS Identity and Access Management (IAM) che utilizza la policy IAM gestita
AmazonRDSDirectoryServiceAccess.Affinché il ruolo IAM possa permettere l'accesso, l'endpoint AWS Security Token Service (AWS STS) deve essere attivato nella regione AWS corretta per l'account AWS. Gli endpoint AWS STS sono attivi per impostazione predefinita in tutte le Regioni AWS e possono essere utilizzati senza ulteriori interventi. Per ulteriori informazioni, consulta Attivazione e disattivazione di AWS STS in una regione AWS nella Guida per l’utente di IAM.
-
Crea e configura utenti nella directory AWS Managed Microsoft AD utilizzando gli strumenti di Microsoft Active Directory. Per ulteriori informazioni sulla creazione di utenti Microsoft Active Directory, consulta Gestione di utenti e gruppi in AWS Managed Microsoft AD nella Guida all’amministrazione di AWS Directory Service.
-
Se si prevede di salvare la directory e l'istanza database in account AWS o in cloud privati virtuali (VPC, Virtual Private Cloud) differenti, configurare il peering di VPC. Per ulteriori informazioni, consulta Che cos'è il peering di VPC? nella Amazon VPC Peering Guide.
-
Creare o modificare un cluster di database di PostgreSQL dalla console, da CLI o dall'API di RDS utilizzando uno dei seguenti metodi:
Puoi individuare il cluster nello stesso Amazon Virtual Private Cloud (VPC) della directory o in un VPC o account AWS diverso. Quando crei o modifichi l' cluster database PostgreSQL, completa le seguenti operazioni:
-
Specifica l'identificativo del dominio (identificativo
d-*) generato al momento della creazione della directory. -
Specifica anche il nome del ruolo IAM creato.
-
Assicurati che il gruppo di sicurezza dell'istanza database possa ricevere traffico in entrata dal gruppo di sicurezza della directory.
-
-
Utilizzare le credenziali dell'utente master RDS per connettersi al cluster di database di PostgreSQL. Creare l'utente in PostgreSQL per l'identificazione esterna. Gli utenti identificati esternamente possono accedere al cluster database di PostgreSQL con l'autenticazione Kerberos.
