如何使用与客户本地 AD 可信的 AWS 托管 AD 限制 RDS Postgres 的数据库用户?

0

【以下的问题经过翻译处理】 客户希望将对他们的RDS Postgres实例的数据库访问限制在仅特定AD用户。Postgres认证流程是Postgres RDS->托管AD->本地AD。是否有一种方法,可以使用AD域组或其他方法仅向特定用户授予对RDS实例的访问权限?

1 回答
0

【以下的回答经过翻译处理】 RDS Postgres可以配置连接到AWS托管的AD以进行用户身份验证。然后,可以通过森林信任将AWS托管的AD连接到本地AD。

这将允许您从任一目录验证用户。

以下两个链接说明了如何设置此功能。 https://aws.amazon.com/about-aws/whats-new/2019/10/amazon-rds-for-postgresql-supports-user-authentication-with-kerberos-and-microsoft-active-directory/ https://docs.aws.amazon.com/quickstart/latest/active-directory-ds/scenario-2.html

此步骤是大部分工作: https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/postgresql-kerberos-setting-up.html

RDS Postgres管理用户的方式是,仍需要创建本地PostgreSQL数据库用户以匹配每个需要访问权限的AD帐户。我认为不可能为AD组执行此操作并使组中的所有用户正常工作

因此,仅因为RDS实例正在使用kerberos连接AD,并不自动授予用户访问权限。

您需要运行以下类似的PSQL命令:

CREATE USER "username@CORP.EXAMPLE.COM" WITH LOGIN; GRANT rds_ad TO "username@CORP.EXAMPLE.COM";

请注意,域名称的大小写是必要的。它必须为大写。 用户名也区分大小写,必须与AD中的用户名匹配(Windows忽略大小写,因此您可能没有意识到用户名中的任何大小写问题)。

profile picture
专家
已回答 7 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则