如何使用与客户本地 AD 可信的 AWS 托管 AD 限制 RDS Postgres 的数据库用户？

【以下的回答经过翻译处理】 RDS Postgres可以配置连接到AWS托管的AD以进行用户身份验证。然后，可以通过森林信任将AWS托管的AD连接到本地AD。

这将允许您从任一目录验证用户。

以下两个链接说明了如何设置此功能。 https://aws.amazon.com/about-aws/whats-new/2019/10/amazon-rds-for-postgresql-supports-user-authentication-with-kerberos-and-microsoft-active-directory/ https://docs.aws.amazon.com/quickstart/latest/active-directory-ds/scenario-2.html

此步骤是大部分工作： https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/postgresql-kerberos-setting-up.html

RDS Postgres管理用户的方式是，仍需要创建本地PostgreSQL数据库用户以匹配每个需要访问权限的AD帐户。我认为不可能为AD组执行此操作并使组中的所有用户正常工作

因此，仅因为RDS实例正在使用kerberos连接AD，并不自动授予用户访问权限。

您需要运行以下类似的PSQL命令：

CREATE USER "username@CORP.EXAMPLE.COM" WITH LOGIN; GRANT rds_ad TO "username@CORP.EXAMPLE.COM";

请注意，域名称的大小写是必要的。它必须为大写。 用户名也区分大小写，必须与AD中的用户名匹配（Windows忽略大小写，因此您可能没有意识到用户名中的任何大小写问题）。