如何使用与客户本地 AD 可信的 AWS 托管 AD 限制 RDS Postgres 的数据库用户?
【以下的问题经过翻译处理】 客户希望将对他们的RDS Postgres实例的数据库访问限制在仅特定AD用户。Postgres认证流程是Postgres RDS->托管AD->本地AD。是否有一种方法,可以使用AD域组或其他方法仅向特定用户授予对RDS实例的访问权限?
- Neueste
- Die meisten Stimmen
- Die meisten Kommentare
【以下的回答经过翻译处理】 RDS Postgres可以配置连接到AWS托管的AD以进行用户身份验证。然后,可以通过森林信任将AWS托管的AD连接到本地AD。
这将允许您从任一目录验证用户。
以下两个链接说明了如何设置此功能。 https://aws.amazon.com/about-aws/whats-new/2019/10/amazon-rds-for-postgresql-supports-user-authentication-with-kerberos-and-microsoft-active-directory/ https://docs.aws.amazon.com/quickstart/latest/active-directory-ds/scenario-2.html
此步骤是大部分工作: https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/postgresql-kerberos-setting-up.html
RDS Postgres管理用户的方式是,仍需要创建本地PostgreSQL数据库用户以匹配每个需要访问权限的AD帐户。我认为不可能为AD组执行此操作并使组中的所有用户正常工作
因此,仅因为RDS实例正在使用kerberos连接AD,并不自动授予用户访问权限。
您需要运行以下类似的PSQL命令:
CREATE USER "username@CORP.EXAMPLE.COM" WITH LOGIN; GRANT rds_ad TO "username@CORP.EXAMPLE.COM";
请注意,域名称的大小写是必要的。它必须为大写。 用户名也区分大小写,必须与AD中的用户名匹配(Windows忽略大小写,因此您可能没有意识到用户名中的任何大小写问题)。
Relevanter Inhalt
AWS OFFICIALAktualisiert vor 3 Jahren- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 3 Jahren