Anda dapat menggunakan autentikasi Kerberos untuk mengautentikasi pengguna saat mereka terhubung ke instans MySQL DB Anda. Instans DB berfungsi dengan AWS Directory Service untuk Microsoft Active Directory (AWS Managed Microsoft AD) untuk mengaktifkan autentikasi Kerberos. Saat pengguna mengautentikasi dengan instance MySQL DB yang bergabung ke domain tepercaya, permintaan autentikasi akan diteruskan. Permintaan yang diteruskan masuk ke direktori domain yang Anda buat dengan AWS Directory Service Show
Menyimpan semua kredensial Anda di direktori yang sama dapat menghemat waktu dan tenaga Anda. Dengan pendekatan ini, Anda memiliki tempat terpusat untuk menyimpan dan mengelola kredensial untuk beberapa instans DB. Menggunakan direktori juga dapat meningkatkan profil keamanan Anda secara keseluruhan Ketersediaan dan dukungan fitur bervariasi di seluruh versi spesifik dari setiap mesin database, dan di seluruh Wilayah AWS. Untuk informasi selengkapnya tentang ketersediaan versi dan Wilayah Amazon RDS dengan autentikasi Kerberos, lihat autentikasi Kerberos Gambaran umum tentang Menyiapkan autentikasi Kerberos untuk instans DB MySQLUntuk menyiapkan autentikasi Kerberos untuk instans DB MySQL, selesaikan langkah-langkah umum berikut, yang akan dijelaskan lebih mendetail nanti
Menyiapkan autentikasi Kerberos untuk instance MySQL DBAnda menggunakan AWS Managed Microsoft AD untuk menyiapkan autentikasi Kerberos untuk instans DB MySQL. Untuk menyiapkan autentikasi Kerberos, Anda melakukan langkah-langkah berikut Langkah 1. Buat direktori menggunakan AWS Managed Microsoft ADAWS Directory Service membuat Active Directory yang dikelola sepenuhnya di AWS Cloud. Saat Anda membuat direktori AWS Managed Microsoft AD, AWS Directory Service membuat dua pengontrol domain dan server Domain Name System (DNS) atas nama Anda. Server direktori dibuat di subnet yang berbeda di VPC. Redundansi ini membantu memastikan bahwa direktori Anda tetap dapat diakses meskipun terjadi kegagalan Saat Anda membuat direktori AWS Managed Microsoft AD, AWS Directory Service melakukan tugas berikut atas nama Anda
Saat Anda meluncurkan AWS Managed Microsoft AD, AWS membuat Unit Organisasi (OU) yang berisi semua objek direktori Anda. OU ini memiliki nama NetBIOS yang Anda ketikkan saat membuat direktori dan terletak di akar domain. Root domain dimiliki dan dikelola oleh AWS Akun Admin yang dibuat dengan direktori AWS Managed Microsoft AD Anda memiliki izin untuk aktivitas administratif paling umum untuk OU Anda
Akun Admin juga memiliki hak untuk melakukan aktivitas di seluruh domain berikut
Untuk membuat direktori dengan AWS Managed Microsoft AD
Dibutuhkan beberapa menit untuk membuat direktori. Setelah berhasil dibuat, nilai Status berubah menjadi Aktif Untuk melihat informasi tentang direktori Anda, pilih nama direktori di daftar direktori. Catat nilai ID Direktori karena Anda memerlukan nilai ini saat membuat atau memodifikasi instans MySQL DB Langkah 2. Buat peran IAM untuk digunakan oleh Amazon RDSAgar Amazon RDS memanggil AWS Directory Service untuk Anda, diperlukan peran IAM yang menggunakan kebijakan IAM terkelola Ketika instans DB dibuat menggunakan AWS Management Console dan pengguna konsol memiliki izin 4, konsol membuat peran ini secara otomatis. Dalam hal ini, nama peran adalah 5. Jika tidak, Anda harus membuat peran IAM secara manual. Saat Anda membuat peran IAM ini, pilih 6, dan lampirkan kebijakan terkelola AWS AmazonRDSDirectoryServiceAccess padanyaUntuk informasi selengkapnya tentang membuat peran IAM untuk layanan, lihat Membuat peran untuk mendelegasikan izin ke layanan AWS di Panduan Pengguna IAM Peran IAM yang digunakan untuk Otentikasi Windows untuk RDS untuk SQL Server tidak dapat digunakan untuk RDS untuk MySQL Secara opsional, Anda dapat membuat kebijakan dengan izin yang diperlukan alih-alih menggunakan kebijakan IAM terkelola _Peran tersebut juga harus memiliki kebijakan peran IAM berikut
Langkah 3. Buat dan konfigurasikan penggunaAnda dapat membuat pengguna dengan alat Pengguna dan Komputer Direktori Aktif. Alat ini merupakan bagian dari Layanan Domain Direktori Aktif dan alat Layanan Direktori Ringan Direktori Aktif. Pengguna mewakili individu atau entitas yang memiliki akses ke direktori Anda Untuk membuat pengguna di direktori AWS Directory Service, Anda harus terhubung ke instans Amazon EC2 berbasis Microsoft Windows. Instance ini harus menjadi anggota direktori AWS Directory Service dan masuk sebagai pengguna yang memiliki hak istimewa untuk membuat pengguna. Untuk informasi selengkapnya, lihat Kelola pengguna dan grup di AWS Managed Microsoft AD di AWS Directory Service Administration Guide Langkah 4. Membuat atau memodifikasi instance MySQL DBBuat atau modifikasi instans DB MySQL untuk digunakan dengan direktori Anda. Anda dapat menggunakan konsol, CLI, atau RDS API untuk mengaitkan instans DB dengan direktori. Anda dapat melakukannya dengan salah satu cara berikut Autentikasi Kerberos hanya didukung untuk instans MySQL DB di VPC. Instance DB dapat berada di VPC yang sama dengan direktori, atau di VPC yang berbeda. Instans DB harus menggunakan grup keamanan yang memungkinkan jalan keluar dalam VPC direktori sehingga instans DB dapat berkomunikasi dengan direktori Saat Anda menggunakan konsol untuk membuat instans DB, pilih Otentikasi Kata Sandi dan Kerberos di bagian Otentikasi basis data. Pilih Telusuri Direktori lalu pilih direktori, atau pilih Buat direktori baru Saat Anda menggunakan konsol untuk memodifikasi atau memulihkan instans DB, pilih direktori di bagian autentikasi Kerberos, atau pilih Buat direktori baru Gunakan CLI atau RDS API untuk mengaitkan instans DB dengan direktori. Parameter berikut diperlukan agar instans DB dapat menggunakan direktori domain yang Anda buat
Misalnya, perintah CLI berikut memodifikasi instans DB untuk menggunakan direktori Untuk Linux, macOS, atau Unix _Untuk Windows
Jika Anda memodifikasi instans DB untuk mengaktifkan autentikasi Kerberos, reboot instans DB setelah melakukan perubahan Langkah 5. Buat otentikasi Kerberos login MySQLGunakan kredensial pengguna master Amazon RDS untuk terhubung ke instans DB MySQL seperti yang Anda lakukan pada instans DB lainnya. Instans DB digabungkan ke domain AWS Managed Microsoft AD. Dengan demikian, Anda dapat menyediakan login dan pengguna MySQL dari pengguna Active Directory di domain Anda. Izin basis data dikelola melalui izin MySQL standar yang diberikan dan dicabut dari login ini Anda dapat mengizinkan pengguna Active Directory untuk mengautentikasi dengan MySQL. Untuk melakukannya, pertama-tama gunakan kredensial pengguna master Amazon RDS untuk terhubung ke instans DB MySQL seperti instans DB lainnya. Setelah Anda masuk, buat pengguna yang diautentikasi secara eksternal dengan PAM (Pluggable Authentication Modules) di MySQL seperti yang ditunjukkan berikut ini
Ganti _2 dengan nama pengguna. Pengguna (manusia dan aplikasi) dari domain Anda sekarang dapat terhubung ke instans DB dari mesin klien yang bergabung dengan domain menggunakan autentikasi KerberosKami sangat menyarankan agar klien menggunakan koneksi SSL/TLS saat menggunakan otentikasi PAM. Jika mereka tidak menggunakan koneksi SSL/TLS, kata sandi mungkin dikirim sebagai teks biasa dalam beberapa kasus. Untuk meminta koneksi terenkripsi SSL/TLS untuk pengguna AD Anda, jalankan perintah berikut
Untuk informasi lebih lanjut, lihat Mengelola instans DB di domainAnda dapat menggunakan CLI atau RDS API untuk mengelola instans DB Anda dan hubungannya dengan Direktori Aktif terkelola Anda. Misalnya, Anda dapat mengaitkan Direktori Aktif untuk autentikasi Kerberos dan memutuskan kaitan Direktori Aktif untuk menonaktifkan autentikasi Kerberos. Anda juga dapat memindahkan instans DB untuk diautentikasi secara eksternal oleh satu Direktori Aktif ke Direktori Aktif lainnya Misalnya, menggunakan API Amazon RDS, Anda dapat melakukan hal berikut
Memahami keanggotaan domainSetelah Anda membuat atau memodifikasi instans DB, instans tersebut menjadi anggota domain. Anda dapat melihat status keanggotaan domain untuk instans DB dengan menjalankan perintah CLI explain-db-instances. Status instans DB dapat berupa salah satu dari berikut ini
Permintaan untuk mengaktifkan autentikasi Kerberos bisa gagal karena masalah konektivitas jaringan atau peran IAM yang salah. Misalnya, Anda membuat instans DB atau mengubah instans DB yang sudah ada dan upaya untuk mengaktifkan autentikasi Kerberos gagal. Jika ini terjadi, keluarkan ulang perintah modifikasi atau modifikasi instans DB yang baru dibuat untuk bergabung dengan domain Menghubungkan ke MySQL dengan otentikasi KerberosUntuk terhubung ke MySQL dengan autentikasi Kerberos, Anda harus masuk menggunakan tipe autentikasi Kerberos Untuk membuat pengguna database yang dapat Anda hubungi menggunakan autentikasi Kerberos, gunakan klausa 7 pada pernyataan CREATE USER . Untuk instruksi, lihatUntuk menghindari kesalahan, gunakan klien MariaDB ________11______9. Anda dapat mengunduh perangkat lunak MariaDB di https. //mengunduh. mariadb. org/ Pada prompt perintah, sambungkan ke salah satu titik akhir yang terkait dengan instans DB MySQL Anda. Ikuti prosedur umum dalam Menghubungkan ke instans DB yang menjalankan mesin database MySQL. Saat Anda dimintai kata sandi, masukkan kata sandi Kerberos yang terkait dengan nama pengguna tersebut Memulihkan instance MySQL DB dan menambahkannya ke domainAnda dapat memulihkan snapshot DB atau menyelesaikan pemulihan point-in-time untuk instans DB MySQL, lalu menambahkannya ke domain. Setelah instans DB dipulihkan, ubah instans DB menggunakan proses yang dijelaskan untuk menambahkan instans DB ke domain Otentikasi Kerberos Batasan MySQLBatasan berikut berlaku untuk autentikasi Kerberos untuk MySQL
|