对 Amazon RDS for Oracle 使用 Kerberos 身份验证
当用户连接到运行 Oracle 的 Amazon RDS 数据库实例时,您可以使用 Kerberos 身份验证来验证用户的身份。在这种情况下,数据库实例与 AWS Directory Service for Microsoft Active Directory(企业版)(也称为 AWS Managed Microsoft AD)配合使用来启用 Kerberos 身份验证。当用户对联接到信任域的 Oracle 数据库实例进行身份验证时,身份验证请求将转发至您使用 AWS Directory Service 创建的目录。
将所有凭证保存在同一目录中可以节省您的时间和精力。您有一个集中位置用来存储和管理多个数据库实例的凭证。使用目录还可以改善您的整体安全概要。
Amazon RDS 支持在以下 AWS 区域为 Oracle 数据库实例提供 Kerberos 身份验证:
-
美国东部(俄亥俄州)
-
美国东部(弗吉尼亚北部)
-
美国西部(加利福尼亚北部)
-
美国西部(俄勒冈)
-
亚太地区(孟买)
-
亚太区域(首尔)
-
亚太区域(新加坡)
-
亚太区域(悉尼)
-
亚太区域(东京)
-
加拿大 (中部)
-
欧洲(法兰克福)
-
欧洲(爱尔兰)
-
欧洲(伦敦)
-
欧洲(斯德哥尔摩)
-
南美洲(圣保罗)
-
AWS GovCloud(美国东部)
-
AWS GovCloud(美国西部)
对于 Oracle 数据库实例已弃用的数据库实例类,不支持 Kerberos 身份验证。有关更多信息,请参阅 Oracle 的数据库实例类支持。
若要为 Oracle 数据库实例设置 Kerberos 身份验证,请完成以下一般步骤,稍后将详细介绍这些步骤:
-
使用 AWS Managed Microsoft AD 创建 AWS Managed Microsoft AD 目录。您可以使用 AWS 管理控制台、AWS CLI 或 AWS Directory Service API 创建目录。
-
创建使用托管 IAM 策略
AmazonRDSDirectoryServiceAccess的 AWS Identity and Access Management (IAM) 角色。此角色允许 Amazon RDS 调用您的目录。为了让角色允许访问,AWS Security Token Service (AWS STS) 终端节点必须在您的 AWS 账户的正确 AWS 区域中激活。AWS STS 终端节点默认在所有 AWS 区域中保持活跃,且您无需任何进一步动作即可使用它们。有关更多信息,请参阅 IAM 用户指南 中的在 AWS 区域中激活和停用 AWS STS。
-
使用 Microsoft Active Directory 工具在 AWS Managed Microsoft AD 目录中创建和配置用户。有关在 Microsoft Active Directory 中创建用户的更多信息,请参阅 AWS Directory Service 管理指南 中的在 AWS 托管 Microsoft AD 中管理用户和组。
-
如果您计划在不同的 AWS 账户或 Virtual Private Cloud (VPC) 中查找目录和数据库实例,请配置 VPC 对等连接。有关更多信息,请参阅 Amazon VPC Peering Guide 中的什么是 VPC 对等连接?。
-
使用以下方法之一从控制台、CLI 或 RDS API 创建或修改 Oracle 数据库实例:
创建或修改数据库实例时,提供在创建目录时生成的域标识符(
d-*标识符)和您创建的角色的名称。您可以在与目录相同的 Amazon Virtual Private Cloud (VPC) 中或在不同的 AWS 账户或 VPC 中定位数据库实例。 -
使用 Amazon RDS 主用户凭证连接到 Oracle 数据库实例。在 Oracle 中创建要在外部标识的用户。外部标识的用户可以使用 Kerberos 身份验证登录到 Oracle 数据库实例。
要使用本地或自托管式 Microsoft Active Directory 获取 Kerberos 身份验证,请创建林信任或外部信任。信任可以是单向或双向的。有关使用 AWS Directory Service 设置林信任的更多信息,请参阅 AWS Directory Service 管理指南 中的何时创建信任关系。