Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation de l'authentification Kerberos pour Aurora MySQL
Vous pouvez utiliser l'authentification Kerberos pour authentifier les utilisateurs lorsqu'ils se connectent à votre cluster de bases de données Aurora MySQL. Pour ce faire, vous configurez votre cluster de bases de données afin qu'il utilise AWS Directory Service for Microsoft Active Directory pour l'authentification Kerberos. AWS Directory Service for Microsoft Active Directory est également appelé AWS Managed Microsoft AD. Cette fonction est disponible avec Directory Service. Pour en savoir plus, consultez [Qu'est-ce qu'Directory Service ?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) dans le *Guide d'administration AWS Directory Service*.
Pour démarrer, créez un annuaire AWS Managed Microsoft AD pour stocker les informations d'identification utilisateur. Fournissez ensuite à votre cluster de bases de données Aurora MySQL le domaine de l'annuaire Active Directory ainsi que d'autres informations. Lorsque les utilisateurs s'authentifient auprès de l'instance de cluster de bases de données Aurora MySQL, les demandes d'authentification sont transférées vers l'annuaire AWS Managed Microsoft AD.
Vous pouvez gagner du temps et de l'argent en conservant toutes les informations d'identification dans le même annuaire. Cette approche vous permet d'avoir un endroit centralisé de stockage et de gestion des informations d'identification pour plusieurs clusters de bases de données. L'utilisation d'un annuaire peut également améliorer votre profil de sécurité global.
Vous pouvez également accéder aux informations d'identification à partir de votre propre annuaire Microsoft Active Directory sur site. Pour ce faire, vous créez une relation de domaine d'approbation afin que l'annuaire AWS Managed Microsoft AD approuve votre annuaire Microsoft Active Directory sur site. De cette façon, vos utilisateurs peuvent accéder à vos clusters de bases de données Aurora MySQL avec la même expérience d'authentification unique (SSO) Windows que lorsqu'ils accèdent aux charges de travail de votre réseau sur site.
Une base de données peut utiliser Kerberos, Gestion des identités et des accès AWS (IAM), ou à la fois l'authentification Kerberos et IAM. Toutefois, comme les authentifications Kerberos et IAM fournissent des méthodes d'authentification différentes, un utilisateur spécifique peut se connecter à une base de données en utilisant uniquement l'une ou l'autre méthode d'authentification, mais pas les deux. Pour plus d'informations sur l'authentification IAM, veuillez consulter [Authentification de base de données IAM](UsingWithRDS.IAMDBAuth.md).
**Contents**
+ [Présentation de l'authentification Kerberos pour les clusters de bases de données Aurora MySQL](#aurora-mysql-kerberos-setting-up-overview)
+ [Limites de l'authentification Kerberos pour Aurora MySQL](#aurora-mysql-kerberos.limitations)
+ [Configuration de l’authentification Kerberos pour les clusters de bases de données Aurora MySQL](aurora-mysql-kerberos-setting-up.md)
+ [Étape 1 : créer un répertoire à l'aide de AWS Managed Microsoft AD](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-directory)
+ [Étape 2 : (Facultatif) Créer une approbation pour un annuaire Active Directory sur site](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-trust)
+ [Étape 3 : Créer un rôle IAM pour une utilisation par Amazon Aurora](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.CreateIAMRole)
+ [Étape 4 : Créer et configurer des utilisateurs](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-users)
+ [Étape 5 : Créer ou modifier un cluster de bases de données Aurora MySQL](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-modify)
+ [Étape 6 : Créer des utilisateurs Aurora MySQL utilisant l’authentification Kerberos](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-logins)
+ [Modification d’un identifiant Aurora MySQL existant](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos.modify-login)
+ [Étape 7 : Configurer un client MySQL](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.configure-client)
+ [Étape 8 : (Facultatif) Configurer la comparaison des noms d’utilisateur sans distinction de casse](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.case-insensitive)
+ [Connexion à Aurora MySQL avec l'authentification Kerberos](aurora-mysql-kerberos-connecting.md)
+ [Utilisation de l'identifiant Kerberos Aurora MySQL pour se connecter au cluster de bases de données](aurora-mysql-kerberos-connecting.md#aurora-mysql-kerberos-connecting.login)
+ [Authentification Kerberos avec des bases de données globales Aurora](aurora-mysql-kerberos-connecting.md#aurora-mysql-kerberos-connecting.global)
+ [Migration de RDS for MySQL vers Aurora MySQL](aurora-mysql-kerberos-connecting.md#aurora-mysql-kerberos-connecting.rds)
+ [Prévention de la mise en cache des tickets](aurora-mysql-kerberos-connecting.md#aurora-mysql-kerberos.destroy-tickets)
+ [Journalisation pour l'authentification Kerberos](aurora-mysql-kerberos-connecting.md#aurora-mysql-kerberos.logging)
+ [Gestion d'un cluster de bases de données dans un domaine](aurora-mysql-kerberos-managing.md)
+ [Présentation de l'appartenance au domaine](aurora-mysql-kerberos-managing.md#aurora-mysql-kerberos-managing.understanding)
## Présentation de l'authentification Kerberos pour les clusters de bases de données Aurora MySQL
Pour configurer l'authentification Kerberos pour un cluster de bases de données Aurora MySQL, effectuez les étapes générales suivantes. Ces étapes sont décrites plus en détail ci-dessous.
1. Utilisez AWS Managed Microsoft AD pour créer un annuaire AWS Managed Microsoft AD. Vous pouvez utiliser AWS Management Console, AWS CLI ou l'Directory Service pour créer l'annuaire. Pour obtenir des instructions détaillées, consultez [Création d'un annuaire AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html) dans le *Guide d'administration AWS Directory Service*.
1. Créez un rôle Gestion des identités et des accès AWS (IAM) utilisant la politique IAM gérée `AmazonRDSDirectoryServiceAccess`. Le rôle autorise Amazon Aurora à effectuer des appels vers votre annuaire.
Pour que le rôle autorise l'accès, le point de terminaison AWS Security Token Service (AWS STS) doit être activé dans la Région AWS pour votre compte AWS. Les points de terminaison AWS STS sont actifs par défaut dans toutes les Régions AWS et vous pouvez les utiliser sans qu'aucune autre action soit nécessaire. Pour de plus amples informations, veuillez consulter [Activation et désactivation d'AWS STS dans une Région AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html#sts-regions-activate-deactivate) dans le *Guide de l'utilisateur IAM*.
1. Créez et configurez les utilisateurs dans l'annuaire AWS Managed Microsoft AD à l'aide des outils Microsoft Active Directory. Pour plus d'informations sur la création d'utilisateurs dans votre annuaire Active Directory, consultez [Gérer les utilisateurs et les groupes dans Microsoft AD géré par AWS](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html) dans le *Guide d'administration AWS Directory Service*.
1. Créez ou modifiez un cluster de bases de données Aurora MySQL. Si vous utilisez CLI ou l'API RDS dans la demande de création, spécifiez un identificateur de domaine avec le paramètre `Domain`. Utilisez l'identificateur `d-*` généré lors de la création de votre annuaire et le nom du rôle IAM que vous avez créé.
Si vous modifiez un cluster de bases de données Aurora MySQL existante pour utiliser l'authentification Kerberos, définissez les paramètres de domaine et de rôle IAM pour le cluster de bases de données. Recherchez le cluster de bases de données dans le même VPC que l'annuaire du domaine.
1. Utilisez les informations d'identification de l'utilisateur principal Amazon RDS pour vous connecter au cluster de bases de données Aurora MySQL. Créez l'utilisateur de base de données dans Aurora MySQL en suivant les instructions données dans[Étape 6 : Créer des utilisateurs Aurora MySQL utilisant l’authentification Kerberos](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-logins).
Les utilisateurs que vous créez de cette façon peuvent se connecter au cluster de bases de données Aurora MySQL en utilisant l'authentification Kerberos. Pour de plus amples informations, consultez [Connexion à Aurora MySQL avec l'authentification Kerberos](aurora-mysql-kerberos-connecting.md).
Pour utiliser l'authentification Kerberos à l'aide d'un annuaire Microsoft Active Directory sur site ou auto-géré, créez une *approbation de forêt*. Une approbation de forêt est une relation d'approbation entre deux groupes de domaines. L'approbation peut être unidirectionnelle ou bidirectionnelle. Pour de plus amples informations sur la configuration des approbations de forêts avec Directory Service, veuillez consulter [Quand créer une relation d'approbation ?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_setup_trust.html) dans le *Guide d'administration AWS Directory Service*.
## Limites de l'authentification Kerberos pour Aurora MySQL
Les limitates suivantes s'appliquent à l'authentification Kerberos pour Aurora MySQL :
+ L'authentification Kerberos est prise en charge pour Aurora MySQL versions 3.03 et ultérieures.
Pour plus d'informations sur la prise en charge d'une Région AWS, consultez [Authentification Kerberos avec Aurora MySQL](Concepts.Aurora_Fea_Regions_DB-eng.Feature.KerberosAuthentication.md#Concepts.Aurora_Fea_Regions_DB-eng.Feature.KerberosAuthentication.amy).
+ Pour utiliser l'authentification Kerberos avec Aurora MySQL, votre client ou connecteur MySQL doit utiliser la version 8.0.26 ou ultérieure sur les plateformes Unix, 8.0.27 ou ultérieure sur Windows. Sinon, le plug-in `authentication_kerberos_client` côté client n'est pas disponible et vous ne pouvez pas vous authentifier.
+ Seul AWS Managed Microsoft AD est pris en charge sur Aurora MySQL. Toutefois, vous pouvez joindre des clusters de bases de données Aurora MySQL à des domaines Microsoft AD gérés partagés qui appartiennent à différents comptes dans la même Région AWS.
Vous pouvez également utiliser votre propre annuaire Active Directory sur site. Pour de plus amples informations, consultez [Étape 2 : (Facultatif) Créer une approbation pour un annuaire Active Directory sur site](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-trust).
+ Lorsque vous utilisez Kerberos pour authentifier un utilisateur qui se connecte au cluster Aurora MySQL à partir de clients MySQL ou de pilotes du système d'exploitation Windows, la casse des caractères du nom d'utilisateur de base de données doit correspondre à celle de l'utilisateur dans Active Directory. Par exemple, si l'utilisateur apparaît dans Active Directory en tant qu'`Admin`, le nom d'utilisateur de base de données doit être `Admin`.
Cependant, vous pouvez désormais utiliser la comparaison des noms d'utilisateur sans distinction de casse avec le plug-in `authentication_kerberos`. Pour de plus amples informations, consultez [Étape 8 : (Facultatif) Configurer la comparaison des noms d’utilisateur sans distinction de casse](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.case-insensitive).
+ Vous devez redémarrer les instances de base de données de lecteur après avoir activé la fonction pour installer le plug-in `authentication_kerberos`.
+ La réplication vers des instances de base de données qui ne prennent pas en charge le plug-in `authentication_kerberos` peut entraîner un échec de réplication.
+ Pour que les bases de données globales Aurora utilisent l'authentification Kerberos, vous devez la configurer pour chaque cluster de bases de données de la base de données globale.
+ Le nom de domaine doit comporter moins de 62 caractères.
+ Ne modifiez pas le port du cluster de bases de données après avoir activé l'authentification Kerberos. Si vous modifiez le port, l'authentification Kerberos ne fonctionnera plus.
# Configuration de l’authentification Kerberos pour les clusters de bases de données Aurora MySQL
AWS Managed Microsoft AD À utiliser pour configurer l'authentification Kerberos pour un cluster de base de données Aurora MySQL. Pour configurer l’authentification Kerberos, procédez comme suit :
**Topics**
+ [Étape 1 : créer un répertoire à l'aide de AWS Managed Microsoft AD](#aurora-mysql-kerberos-setting-up.create-directory)
+ [Étape 2 : (Facultatif) Créer une approbation pour un annuaire Active Directory sur site](#aurora-mysql-kerberos-setting-up.create-trust)
+ [Étape 3 : Créer un rôle IAM pour une utilisation par Amazon Aurora](#aurora-mysql-kerberos-setting-up.CreateIAMRole)
+ [Étape 4 : Créer et configurer des utilisateurs](#aurora-mysql-kerberos-setting-up.create-users)
+ [Étape 5 : Créer ou modifier un cluster de bases de données Aurora MySQL](#aurora-mysql-kerberos-setting-up.create-modify)
+ [Étape 6 : Créer des utilisateurs Aurora MySQL utilisant l’authentification Kerberos](#aurora-mysql-kerberos-setting-up.create-logins)
+ [Étape 7 : Configurer un client MySQL](#aurora-mysql-kerberos-setting-up.configure-client)
+ [Étape 8 : (Facultatif) Configurer la comparaison des noms d’utilisateur sans distinction de casse](#aurora-mysql-kerberos-setting-up.case-insensitive)
## Étape 1 : créer un répertoire à l'aide de AWS Managed Microsoft AD
Directory Service crée un Active Directory entièrement géré dans le AWS cloud. Lorsque vous créez un AWS Managed Microsoft AD annuaire, il Directory Service crée deux contrôleurs de domaine et des serveurs DNS (Domain Name System) en votre nom. Les serveurs de répertoire sont créés dans des sous-réseaux différents d’un VPC. Cette redondance permet de s’assurer que votre annuaire reste accessible, y compris en cas de défaillance.
Lorsque vous créez un AWS Managed Microsoft AD répertoire, il Directory Service exécute les tâches suivantes en votre nom :
+ Configuration d’un annuaire Active Directory dans le VPC.
+ Création d’un compte d’administrateur d’annuaire avec le nom d’utilisateur `Admin` et le mot de passe spécifié. Ce compte est utilisé pour gérer votre annuaire.
**Note**
N'oubliez pas d'enregistrer ce mot de passe. Directory Service ne le stocke pas. Vous pouvez le réinitialiser, mais vous ne pouvez pas le récupérer.
+ Création d’un groupe de sécurité pour les contrôleurs de l’annuaire.
Lorsque vous lancez un AWS Managed Microsoft AD, AWS crée une unité organisationnelle (UO) qui contient tous les objets de votre répertoire. Cette unité organisationnelle porte le nom NetBIOS que vous avez saisi lorsque vous avez créé votre annuaire. Il se trouve dans la racine du domaine, qui est détenue et gérée par AWS.
Le `Admin` compte créé avec votre AWS Managed Microsoft AD annuaire dispose d'autorisations pour les activités administratives les plus courantes de votre unité d'organisation, notamment :
+ Création, mise à jour et suppression des utilisateurs
+ Ajouter des ressources à votre domaine, comme des serveurs de fichiers ou d’impression, puis attribuer des autorisations pour ces ressources aux utilisateurs dans votre unité organisationnelle
+ Créez des conteneurs OUs et des conteneurs supplémentaires
+ Déléguer des autorités
+ Restaurer des objets supprimés de la corbeille Active Directory
+ Exécuter les PowerShell modules Windows AD et DNS sur le service Web Active Directory
Le compte `Admin` dispose également de droits pour exécuter les activités suivantes au niveau du domaine :
+ Gérer les configurations DNS (ajouter, supprimer ou mettre à jour des enregistrements, des zones et des redirecteurs)
+ Afficher les journaux d’événements DNS
+ Afficher les journaux d’événements de sécurité
**Pour créer un répertoire avec AWS Managed Microsoft AD**
1. Connectez-vous à la Directory Service console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Dans le panneau de navigation, choisissez **Directories** (Répertoires), puis **Set up Directory** (Configurer un répertoire).
1. Choisissez **AWS Managed Microsoft AD**. AWS Managed Microsoft AD est la seule option que vous pouvez actuellement utiliser avec Amazon RDS.
1. Entrez les informations suivantes :
**Nom de DNS de l’annuaire**
Nom complet de l’annuaire, par exemple **corp.example.com**.
**Nom NetBIOS de l’annuaire**
Nom court de l’annuaire, par exemple **CORP**.
**Description de l’annuaire**
(Facultatif) Une description de l’annuaire.
**Mot de passe administrateur**
Mot de passe de l’administrateur de l’annuaire. Le processus de création d’un annuaire crée un compte d’administrateur avec le nom d’utilisateur Admin et ce mot de passe.
Le mot de passe de l’administrateur de l’annuaire ne peut pas contenir le terme « admin ». Le mot de passe est sensible à la casse et doit comporter entre 8 et 64 caractères. Il doit également contenir au moins un caractère de trois des quatre catégories suivantes :
+ Lettres minuscules (a–z)
+ Lettres majuscules (A–Z)
+ Chiffres (0–9)
+ Caractères non alphanumériques (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"’<>,.?/)
**Confirmer le mot de passe**
Mot de passe de l’administrateur saisi à nouveau.
1. Choisissez **Suivant**.
1. Entrez les informations suivantes dans la section **Networking** (Réseaux), puis choisissez **Suivant** (Next) :
**VPC**
VPC de l’annuaire. Créez le cluster de bases de données Aurora MySQL dans ce même VPC.
**Subnets**
Sous-réseaux pour les serveurs d’annuaires. Les deux sous-réseaux doivent être dans des zones de disponibilité différentes.
1. Vérifiez les informations concernant l’annuaire et effectuez les modifications nécessaires. Lorsque les informations sont correctes, choisissez **Create directory (Créer l’annuaire)**.
![\[Page de détails de l’annuaire lors de la création\]](http://docs.aws.amazon.com/fr_fr/AmazonRDS/latest/AuroraUserGuide/images/WinAuth2.png)
La création de l’annuaire prend plusieurs minutes. Lorsqu’il est créé, la valeur du champ **Statut** devient **Actif**.
Pour consulter les informations relatives à votre annuaire, choisissez le nom de l’annuaire dans la liste. Notez la valeur **ID de l’annuaire**. Vous en aurez besoin pour créer ou modifier votre cluster de bases de données Aurora MySQL.
![\[ID de l’annuaire sur la page Détails de l’annuaire\]](http://docs.aws.amazon.com/fr_fr/AmazonRDS/latest/AuroraUserGuide/images/WinAuth3.png)
## Étape 2 : (Facultatif) Créer une approbation pour un annuaire Active Directory sur site
Si vous ne prévoyez pas d’utiliser votre propre Microsoft Active Directory sur site, passez à [Étape 3 : Créer un rôle IAM pour une utilisation par Amazon Aurora](#aurora-mysql-kerberos-setting-up.CreateIAMRole).
Pour utiliser l'authentification Kerberos avec votre Active Directory local, vous devez créer une relation de domaine de confiance en utilisant une approbation forestière entre votre Microsoft Active Directory local et l' AWS Managed Microsoft AD annuaire (créé dans). [Étape 1 : créer un répertoire à l'aide de AWS Managed Microsoft AD](#aurora-mysql-kerberos-setting-up.create-directory) L’approbation peut être unidirectionnelle. Dans ce cas, l’annuaire AWS Managed Microsoft AD approuve Microsoft Active Directory sur site. L’approbation peut également être bidirectionnelle. Dans ce cas, les deux Active Directory s’approuvent mutuellement. Pour plus d'informations sur la configuration des approbations [à l'aide Directory Service de la section Quand créer une relation de confiance](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_setup_trust.html) dans le *Guide d'AWS Directory Service administration*.
**Note**
Si vous utilisez un annuaire Microsoft Active Directory sur site :
Les clients Windows ne peuvent pas se connecter à l’aide de points de terminaison Aurora personnalisés. Pour en savoir plus, consultez [Connexions de point de terminaison Amazon Aurora](Aurora.Overview.Endpoints.md).
Pour les [bases de données globales](aurora-global-database.md) :
Les clients Windows peuvent se connecter à l’aide de points de terminaison d’instance ou de points de terminaison de cluster dans la Région AWS principale de la base de données globale.
Les clients Windows ne peuvent pas se connecter à l'aide des points de terminaison du cluster dans le secondaire Régions AWS.
Assurez-vous que le nom de domaine de votre Microsoft Active Directory sur site inclut un routage de suffixe DNS correspondant à la relation d’approbation nouvellement créée. La capture d’écran suivante présente un exemple.
![\[Le routage DNS correspond à l’approbation créée\]](http://docs.aws.amazon.com/fr_fr/AmazonRDS/latest/AuroraUserGuide/images/kerberos-auth-trust.png)
## Étape 3 : Créer un rôle IAM pour une utilisation par Amazon Aurora
Pour qu'Amazon Aurora fasse appel Directory Service à vous, vous avez besoin d'un rôle Gestion des identités et des accès AWS (IAM) qui utilise la politique IAM gérée. `AmazonRDSDirectoryServiceAccess` Ce rôle permet à Aurora d’effectuer des appels vers Directory Service.
Lorsque vous créez un cluster de base de données à l'aide de AWS Management Console, et que vous en avez l'`iam:CreateRole`autorisation, la console crée automatiquement ce rôle. Dans ce cas, le nom du rôle est `rds-directoryservice-kerberos-access-role`. Sinon, vous devez créer le rôle IAM manuellement. Lorsque vous créez ce rôle IAM`Directory Service`, choisissez et associez la politique AWS gérée `AmazonRDSDirectoryServiceAccess` à celui-ci.
Pour plus d'informations sur la création de rôles IAM pour un service, consultez la section [Création d'un rôle pour déléguer des autorisations à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le Guide de l'*utilisateur IAM*.
Vous pouvez également créer des politiques avec les autorisations obligatoires au lieu d’utiliser la politique gérée IAM `AmazonRDSDirectoryServiceAccess`. Dans ce cas, le rôle IAM doit avoir la politique d’approbation IAM suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"directoryservice.rds.amazonaws.com",
"rds.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Le rôle doit également avoir la politique de rôle IAM suivante.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ds:DescribeDirectories",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:GetAuthorizedApplicationDetails"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Étape 4 : Créer et configurer des utilisateurs
Vous pouvez créer des utilisateurs à l’aide de l’outil Active Directory Users and Computers. Cet outil fait partie des outils Active Directory Domain Services et Active Directory Lightweight Directory Services (Services de domaine Active Directory et Services d’annuaire légers Active Directory). Les utilisateurs représentent des individus ou des entités individuelles qui ont accès à votre annuaire.
Pour créer des utilisateurs dans un Directory Service annuaire, vous utilisez une instance sur site ou Amazon EC2 basée sur Microsoft Windows qui est jointe à Directory Service votre annuaire. Vous devez être connecté à l’instance en tant qu’utilisateur disposant de privilèges pour créer des utilisateurs. Pour plus d’informations, consultez [Gérer des utilisateurs et des groupes dans AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/creating_ad_users_and_groups.html) dans le *Guide d’administration d’AWS Directory Service*.
## Étape 5 : Créer ou modifier un cluster de bases de données Aurora MySQL
Créez ou modifiez un cluster de bases de données Aurora MySQL à utiliser avec votre annuaire. Vous pouvez utiliser la console ou l' AWS CLI API RDS pour associer un cluster de base de données à un annuaire. Vous pouvez effectuer cette tâche de différentes manières :
+ Créez un nouveau cluster de base de données Aurora MySQL à l'aide de la console, de la commande [ create-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-cluster.html)CLI ou de l'opération [Create DBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBCluster.html) RDS API.
Pour obtenir des instructions, veuillez consulter [Création d’un cluster de bases de données Amazon Aurora](Aurora.CreateInstance.md).
+ Modifiez un cluster de base de données Aurora MySQL existant à l'aide de la console, de la commande [modify-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-cluster.html)CLI ou de l'opération [DBClusterModify](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBCluster.html) RDS API.
Pour obtenir des instructions, veuillez consulter [Modification d’un cluster de bases de données Amazon Aurora](Aurora.Modifying.md).
+ Restaurez un cluster de base de données Aurora MySQL à partir d'un instantané de base de données à l'aide de la console, de la commande CLI [restore-db-cluster-from-snapshot](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-cluster-from-snapshot.html) ou de l'opération d'API [Restore DBCluster FromSnapshot](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBClusterFromSnapshot.html) RDS.
Pour obtenir des instructions, veuillez consulter [Restauration à partir d’un instantané de cluster de bases de données](aurora-restore-snapshot.md).
+ Restaurez un cluster de base de données Aurora MySQL à point-in-time l'aide de la console, de la commande [ restore-db-cluster-to- point-in-time](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-cluster-to-point-in-time.html) CLI ou de l'opération [Restore DBCluster ToPointInTime](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBClusterToPointInTime.html) RDS API.
Pour obtenir des instructions, veuillez consulter [Restauration d’un cluster de bases de données à une date définie](aurora-pitr.md).
L’authentification Kerberos est uniquement prise en charge pour les clusters de bases de données Aurora MySQL dans un VPC. Le cluster de bases de données peut se trouver dans le même VPC que l’annuaire ou dans un autre VPC. Le VPC du cluster de bases de données doit avoir un groupe de sécurité VPC qui autorise les communications sortantes vers votre annuaire.
### Console
Lorsque vous utilisez la console pour créer, modifier ou restaurer un cluster de bases de données, choisissez **Kerberos authentication** (Authentification Kerberos) dans la section **Database authentication** (Authentification de base de données). Choisissez **Browse Directory** (Parcourir les répertoires), puis sélectionnez le répertoire, ou choisissez **Create a new directory** (Créer un nouveau répertoire).
![\[Paramètre d’authentification Kerberos lors de la création d’un cluster de bases de données\]](http://docs.aws.amazon.com/fr_fr/AmazonRDS/latest/AuroraUserGuide/images/kerberos-auth-create-cluster.png)
### AWS CLI
Lorsque vous utilisez l'API AWS CLI ou RDS, associez un cluster de base de données à un annuaire. Les paramètres suivants sont nécessaires pour que le cluster de bases de données utilise l’annuaire du domaine que vous avez créé :
+ Pour le paramètre `--domain`, vous devez indiquer l’identifiant du domaine (identifiant « d-\$1 ») généré lors de la création de l’annuaire.
+ Pour le paramètre `--domain-iam-role-name`, utilisez le rôle que vous avez créé qui utilise la politique IAM gérée `AmazonRDSDirectoryServiceAccess`.
Par exemple, la commande d’interface de ligne de commande suivante modifie un cluster de bases de données de façon à utiliser un annuaire.
Pour Linux, macOS ou Unix :
```
aws rds modify-db-cluster \
--db-cluster-identifier mydbcluster \
--domain d-ID \
--domain-iam-role-name role-name
```
Pour Windows :
```
aws rds modify-db-cluster ^
--db-cluster-identifier mydbcluster ^
--domain d-ID ^
--domain-iam-role-name role-name
```
**Important**
Si vous modifiez un cluster de bases de données pour activer l’authentification Kerberos, redémarrez les instances de base de données de lecteur après avoir effectué la modification.
## Étape 6 : Créer des utilisateurs Aurora MySQL utilisant l’authentification Kerberos
Le cluster de base de données est joint au AWS Managed Microsoft AD domaine. Vous pouvez ainsi créer des utilisateurs Aurora MySQL à partir des utilisateurs Active Directory de votre domaine. Les autorisations de base de données sont gérées via des autorisations Aurora MySQL standard qui sont accordées et révoquées à partir de ces utilisateurs.
Vous pouvez autoriser un utilisateur Active Directory à s’authentifier avec Aurora MySQL. Pour ce faire, utilisez d’abord les informations d’identification de l’utilisateur principal Amazon RDS pour vous connecter au cluster de bases de données Aurora MySQL comme avec n’importe quel autre cluster de bases de données. Après vous être connecté, créez un utilisateur authentifié en externe avec l’authentification Kerberos dans Aurora MySQL comme indiqué ici :
```
CREATE USER user_name@'host_name' IDENTIFIED WITH 'authentication_kerberos' BY 'realm_name';
```
+ Remplacez `user_name` par le nom de l’utilisateur. Les utilisateurs (personnes et applications) de votre domaine peuvent désormais se connecter au cluster de bases de données à partir d’un ordinateur client joint au domaine à l’aide de l’authentification Kerberos.
+ Remplacez `host_name` par le nom d’hôte. Vous pouvez utiliser `%` comme un caractère générique. Vous pouvez également utiliser des adresses IP spécifiques pour le nom d’hôte.
+ Remplacez *realm\$1name* par le nom de domaine du répertoire du domaine. Le nom de domaine est généralement identique au nom de domaine DNS en lettres majuscules, par exemple `CORP.EXAMPLE.COM`. Un domaine est un groupe de systèmes qui utilise le même centre de distribution de clés Kerberos.
L’exemple suivant crée un utilisateur de base de données dont le nom `Admin` s’authentifie auprès de l’annuaire Active Directory à l’aide du nom de domaine `MYSQL.LOCAL`.
```
CREATE USER Admin@'%' IDENTIFIED WITH 'authentication_kerberos' BY 'MYSQL.LOCAL';
```
### Modification d’un identifiant Aurora MySQL existant
Vous pouvez également modifier un identifiant Aurora MySQL existant pour utiliser l’authentification Kerberos avec la syntaxe suivante :
```
ALTER USER user_name IDENTIFIED WITH 'authentication_kerberos' BY 'realm_name';
```
## Étape 7 : Configurer un client MySQL
Pour configurer un client MySQL, procédez comme suit :
1. Créez un fichier `krb5.conf` (ou équivalent) pointant vers le domaine.
1. Vérifiez que le trafic peut circuler entre l'hôte client et Directory Service. Utilisez un utilitaire réseau tel que Netcat pour les opérations suivantes :
+ Vérifiez le trafic via DNS pour le port 53.
+ Vérifiez le trafic dépassé TCP/UDP pour le port 53 et pour Kerberos, qui inclut les ports 88 et 464 pour. Directory Service
1. Vérifiez que le trafic peut circuler entre l’hôte du client et l’instance de base de données via le port de la base de données. Par exemple, utilisez `mysql` pour vous connecter à la base de données et y accéder.
Voici un exemple de `krb5.conf` contenu pour AWS Managed Microsoft AD.
```
[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = example.com
admin_server = example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
```
Vous trouverez ci-après un exemple de contenu `krb5.conf` pour un annuaire Microsoft Active Directory sur site.
```
[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = example.com
admin_server = example.com
}
ONPREM.COM = {
kdc = onprem.com
admin_server = onprem.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
.onprem.com = ONPREM.COM
onprem.com = ONPREM.COM
.rds.amazonaws.com = EXAMPLE.COM
.amazonaws.com.rproxy.govskope.us.cn = EXAMPLE.COM
.amazon.com = EXAMPLE.COM
```
## Étape 8 : (Facultatif) Configurer la comparaison des noms d’utilisateur sans distinction de casse
Par défaut, la casse des caractères du nom d’utilisateur de base de données MySQL doit correspondre à celle de l’identifiant Active Directory. Cependant, vous pouvez désormais utiliser la comparaison des noms d’utilisateur sans distinction de casse avec le plug-in `authentication_kerberos`. Pour ce faire, vous devez définir le paramètre `authentication_kerberos_caseins_cmp` de cluster de bases de données sur `true`.
**Pour utiliser la comparaison des noms d’utilisateur sans distinction de casse**
1. Créez un groupe personnalisé de paramètres de cluster de bases de données. Suivez la procédure fournie dans [Création d'un groupe de paramètres de cluster de base de données dans Amazon Aurora](USER_WorkingWithParamGroups.CreatingCluster.md).
1. Modifiez le nouveau groupe de paramètres pour définir la valeur de `authentication_kerberos_caseins_cmp` sur `true`. Suivez la procédure fournie dans [Modification des paramètres d'un groupe de paramètres de cluster de base de données dans Amazon Aurora](USER_WorkingWithParamGroups.ModifyingCluster.md).
1. Associez le groupe de paramètres de cluster de bases de données à votre cluster de bases de données Aurora MySQL. Suivez la procédure fournie dans [Association d’un groupe de paramètres de cluster de bases de données à un cluster de bases de données Amazon Aurora](USER_WorkingWithParamGroups.AssociatingCluster.md).
1. Redémarrez le cluster de bases de données.
# Connexion à Aurora MySQL avec l'authentification Kerberos
Pour éviter les erreurs, utilisez un client MySQL avec la version 8.0.26 ou ultérieure sur les plateformes Unix, ou 8.0.27 ou ultérieure sur Windows.
## Utilisation de l'identifiant Kerberos Aurora MySQL pour se connecter au cluster de bases de données
Pour vous connecter à Aurora MySQL à l'aide de l'authentification Kerberos, vous devez vous connecter comme l'utilisateur de base de données que vous avez créé à l'aide des instructions fournies dans [Étape 6 : Créer des utilisateurs Aurora MySQL utilisant l’authentification Kerberos](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-logins).
À partir d'une invite de commande, connectez-vous à un des points de terminaison associés à votre cluster de bases de données Aurora MySQL. Lorsque vous êtes invité à entrer le mot de passe, entrez le mot de passe Kerberos associé à ce nom d'utilisateur.
Lorsque vous vous authentifiez avec Kerberos, un *ticket d'attribution de tickets* (TGT) est généré s'il n'en existe pas déjà un. Le plug-in `authentication_kerberos` utilise le TGT pour obtenir un *ticket de service*, qui est ensuite présenté au serveur de base de données Aurora MySQL.
Vous pouvez utiliser le client MySQL pour vous connecter à Aurora MySQL avec une authentification Kerberos sous Windows ou Unix.
### Unix
Vous pouvez vous connecter avec l'une des méthodes suivantes :
+ Obtenez le TGT manuellement. Dans ce cas, il n'est pas nécessaire de fournir le mot de passe au client MySQL.
+ Fournissez le mot de passe pour la connexion Active Directory directement au client MySQL.
Le plug-in côté client est pris en charge sur les plateformes Unix pour les versions client de MySQL 8.0.26 et ultérieures.
**Pour vous connecter en obtenant le TGT manuellement**
1. Sur l'interface de ligne de commande, utilisez la commande suivante pour obtenir le TGT.
```
kinit user_name
```
1. Utilisez la commande `mysql` suivante pour vous connecter au point de terminaison de l'instance de base de données de votre cluster de bases de données.
```
mysql -h DB_instance_endpoint -P 3306 -u user_name -p
```
**Note**
L'authentification peut échouer si le keytab a fait l'objet d'une rotation sur l'instance de base de données. Dans ce cas, obtenez un nouveau TGT en exécutant à nouveau `kinit`.
**Pour vous connecter directement**
1. Sur l'interface de ligne de commande, utilisez la commande `mysql` suivante pour vous connecter au point de terminaison de l'instance de base de données de votre cluster de bases de données.
```
mysql -h DB_instance_endpoint -P 3306 -u user_name -p
```
1. Saisissez le mot de passe de l'utilisateur Active Directory.
### Windows
Sous Windows, l'authentification est généralement effectuée au moment de la connexion. Vous n'avez donc pas besoin d'obtenir le TGT manuellement pour vous connecter au cluster de bases de données Aurora MySQL. La casse du nom d'utilisateur de base de données doit correspondre à la casse des caractères de l'utilisateur dans Active Directory. Par exemple, si l'utilisateur apparaît dans Active Directory en tant qu'`Admin`, le nom d'utilisateur de base de données doit être `Admin`.
Le plug-in côté client est pris en charge sur les plateformes Windows pour les versions client de MySQL 8.0.27 et ultérieures.
**Pour vous connecter directement**
+ Sur l'interface de ligne de commande, utilisez la commande `mysql` suivante pour vous connecter au point de terminaison de l'instance de base de données de votre cluster de bases de données.
```
mysql -h DB_instance_endpoint -P 3306 -u user_name
```
## Authentification Kerberos avec des bases de données globales Aurora
L'authentification Kerberos for Aurora MySQL est prise en charge pour les bases de données globales Aurora. Pour authentifier les utilisateurs du cluster de bases de données secondaire à l'aide de l'Active Directory du cluster de bases de données principal, répliquez l'Active Directory sur la Région AWS secondaire. Vous activez l'authentification Kerberos sur le cluster secondaire en utilisant le même ID de domaine que pour le cluster principal. La réplication AWS Managed Microsoft AD est prise en charge uniquement avec la version Enterprise d'Active Directory. Pour plus d'informations, consultez [Multi-Region replication](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_configure_multi_region_replication.html) (Réplication multi-régions) dans le *Guide d'administration AWS Directory Service*.
## Migration de RDS for MySQL vers Aurora MySQL
Après avoir migré de RDS for MySQL avec l'authentification Kerberos activée vers Aurora MySQL, modifiez les utilisateurs créés avec le plug-in `auth_pam` pour qu'ils utilisent le plug-in `authentication_kerberos`. Par exemple :
```
ALTER USER user_name IDENTIFIED WITH 'authentication_kerberos' BY 'realm_name';
```
## Prévention de la mise en cache des tickets
Si aucun TGT valide n'existe au démarrage de l'application cliente MySQL, l'application peut obtenir le TGT et le mettre en cache. Si vous souhaitez empêcher la mise en cache du TGT, définissez un paramètre de configuration dans le fichier `/etc/krb5.conf`.
**Note**
Cette configuration s'applique uniquement aux hôtes clients exécutant Unix, et non Windows.
**Pour empêcher la mise en cache du TGT**
+ Ajoutez une section `[appdefaults]` à `/etc/krb5.conf` comme suit :
```
[appdefaults]
mysql = {
destroy_tickets = true
}
```
## Journalisation pour l'authentification Kerberos
La variable d'environnement `AUTHENTICATION_KERBEROS_CLIENT_LOG` définit le niveau de journalisation pour l'authentification Kerberos. Vous pouvez utiliser les journaux pour le débogage côté client.
Les valeurs autorisées sont comprises entre 1 et 5. Les messages du journal sont écrits sur la sortie d'erreur standard. La table suivante décrit chaque niveau de journalisation.
| Logging level (Niveau de journalisation) | Description |
| --- | --- |
| 1 ou non défini | Aucune journalisation |
| 2 | Messages d’erreur |
| 3 | Messages d'erreur et d'avertissement |
| 4 | Messages d'erreur, d'avertissement et d'information |
| 5 | Messages d'erreur, d'avertissement, d'information et de débogage |
# Gestion d'un cluster de bases de données dans un domaine
Vous pouvez utiliser l'AWS CLI ou l'API RDS pour gérer votre cluster de bases de données et sa relation avec votre annuaire Active Directory géré. Par exemple, vous pouvez associer un annuaire Active Directory pour l'authentification Kerberos et dissocier un annuaire Active Directory pour désactiver l'authentification Kerberos. Vous pouvez également transférer un cluster de bases de données vers un autre afin qu'il soit authentifié en externe par un annuaire Active Directory.
Par exemple, l'API Amazon RDS vous permet d'effectuer les actions suivantes :
+ Pour retenter l'activation de l'authentification Kerberos en cas d'échec d'appartenance, utilisez l'opération d'API `ModifyDBInstance` et spécifiez l'ID d'annuaire d'appartenance actuelle.
+ Pour mettre à jour le nom du rôle IAM de l'appartenance, utilisez l'opération d'API `ModifyDBInstance` et spécifiez l'ID d'annuaire de l'appartenance actuelle et le nouveau rôle IAM.
+ Pour désactiver l'authentification Kerberos sur un cluster de bases de données, utilisez l'opération d'API `ModifyDBInstance` et spécifiez `none` comme paramètre de domaine.
+ Pour déplacer un cluster de bases de données d'un domaine à un autre, utilisez l'opération d'API `ModifyDBInstance` et spécifiez l'identifiant du nouveau domaine en tant que paramètre de domaine.
+ Pour répertorier l'appartenance pour chaque cluster de bases de données, utilisez l'opération d'API `DescribeDBInstances`.
## Présentation de l'appartenance au domaine
Après la création ou la modification de votre cluster de bases de données, il devient un membre du domaine. Vous pouvez consulter le statut de l'appartenance au domaine pour le cluster de bases de données en exécutant la commande d'interface de ligne de commande [describe-db-clusters](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-clusters.html). Le statut du cluster de bases de données peut avoir les valeurs suivantes :
+ `kerberos-enabled` : l'authentification Kerberos est activée sur le cluster de bases de données.
+ `enabling-kerberos` : AWS est en train d'activer l'authentification Kerberos sur ce cluster de bases de données.
+ `pending-enable-kerberos` : l'activation de l'authentification Kerberos est en attente sur ce cluster de bases de données.
+ `pending-maintenance-enable-kerberos` – AWS tentera d'activer l'authentification Kerberos sur ce cluster de bases de données lors de la prochaine fenêtre de maintenance planifiée.
+ `pending-disable-kerberos` : la désactivation de l'authentification Kerberos est en attente sur ce cluster de bases de données.
+ `pending-maintenance-disable-kerberos` – AWS tentera de désactiver l'authentification Kerberos sur ce cluster de bases de données lors de la prochaine fenêtre de maintenance planifiée.
+ `enable-kerberos-failed` : un problème de configuration a empêché AWS d'activer l'authentification Kerberos sur le cluster de bases de données. Vérifiez et corrigez votre configuration avant d'émettre à nouveau la commande de modification du cluster de bases de données.
+ `disabling-kerberos` : AWS est en train de désactiver l'authentification Kerberos sur ce cluster de bases de données.
Une demande d'activation de l'authentification Kerberos peut échouer à cause d'un problème de connectivité réseau ou d'un rôle IAM incorrect. Par exemple, supposons que vous créez un cluster de bases de données ou modifiez un cluster de bases de données et que la tentative d'activation de l'authentification Kerberos échoue. Si cela se produit, réémettez la commande modify ou modifiez le cluster de bases de données nouvellement créé pour joindre le domaine.