Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Menggunakan otentikasi Kerberos untuk Aurora My SQL
Anda dapat menggunakan otentikasi Kerberos untuk mengautentikasi pengguna saat mereka terhubung ke cluster Aurora My DB Anda. SQL Untuk melakukannya, konfigurasikan cluster DB Anda untuk digunakan AWS Directory Service for Microsoft Active Directory untuk otentikasi Kerberos. AWS Directory Service for Microsoft Active Directory disebut juga AWS Managed Microsoft AD. Ini adalah fitur yang tersedia dengan Directory Service. Untuk mempelajari lebih lanjut, lihat [Apa itu Directory Service?](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html) dalam *Panduan AWS Directory Service Administrasi*.
Untuk memulai, buat AWS Managed Microsoft AD direktori untuk menyimpan kredensyal pengguna. Kemudian, berikan domain Active Directory dan informasi lainnya ke cluster Aurora My SQL DB Anda. Ketika pengguna mengautentikasi dengan cluster Aurora SQL My DB, permintaan otentikasi diteruskan ke direktori. AWS Managed Microsoft AD
Dengan menyimpan semua kredensial Anda di direktori yang sama, Anda dapat menghemat waktu dan tenaga. Dengan pendekatan ini, Anda memiliki sebuah lokasi terpusat untuk menyimpan dan mengelola kredensial bagi beberapa klaster DB. Menggunakan direktori juga dapat meningkatkan profil keamanan keseluruhan Anda.
Selain itu, Anda dapat mengakses kredensial dari Microsoft Active Directory on-premise Anda sendiri. Untuk melakukannya, buat hubungan domain tepercaya sehingga direktori AWS Managed Microsoft AD mempercayai Microsoft Active Directory on-premise Anda. Dengan cara ini, pengguna Anda dapat mengakses klaster Aurora My SQL DB Anda dengan pengalaman masuk tunggal (SSO) Windows yang sama seperti ketika mereka mengakses beban kerja di jaringan lokal Anda.
Database dapat menggunakan Kerberos, AWS Identity and Access Management (IAM), atau Kerberos dan otentikasi. IAM Namun, karena Kerberos dan IAM otentikasi menyediakan metode otentikasi yang berbeda, pengguna tertentu dapat masuk ke database hanya menggunakan satu atau metode otentikasi lainnya, tetapi tidak keduanya. Untuk informasi selengkapnya tentang IAM otentikasi, lihat[Autentikasi basis data IAM](UsingWithRDS.IAMDBAuth.md).
**Contents**
+ [Ikhtisar otentikasi Kerberos untuk cluster Aurora My DB SQL](#aurora-mysql-kerberos-setting-up-overview)
+ [Batasan otentikasi Kerberos untuk Aurora My SQL](#aurora-mysql-kerberos.limitations)
+ [Menyiapkan autentikasi Kerberos untuk klaster DB Aurora MySQL](aurora-mysql-kerberos-setting-up.md)
+ [Langkah 1: Buat direktori menggunakan AWS Managed Microsoft AD](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-directory)
+ [Langkah 2: (Opsional) Buat kepercayaan untuk Active Directory on-premise](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-trust)
+ [Langkah 3: Buat peran IAM untuk digunakan oleh Amazon Aurora](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.CreateIAMRole)
+ [Langkah 4: Buat dan konfigurasikan pengguna](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-users)
+ [Langkah 5: Buat atau modifikasi klaster DB Aurora MySQL](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-modify)
+ [Langkah 6: Buat pengguna MySQL Aurora yang menggunakan autentikasi Kerberos](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-logins)
+ [Memodifikasi login Aurora MySQL yang ada](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos.modify-login)
+ [Langkah 7: Konfigurasi klien MySQL](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.configure-client)
+ [Langkah 8: (Opsional) Lakukan konfigurasi perbandingan nama pengguna yang tidak peka huruf besar/kecil](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.case-insensitive)
+ [Membuat koneksi dengan Aurora MySQL lewat autentikasi Kerberos](aurora-mysql-kerberos-connecting.md)
+ [Menggunakan login Kerberos Aurora MySQL untuk terhubung ke klaster DB](aurora-mysql-kerberos-connecting.md#aurora-mysql-kerberos-connecting.login)
+ [Autentikasi Kerberos dengan basis data global Aurora](aurora-mysql-kerberos-connecting.md#aurora-mysql-kerberos-connecting.global)
+ [Migrasi dari RDS for MySQL ke Aurora MySQL](aurora-mysql-kerberos-connecting.md#aurora-mysql-kerberos-connecting.rds)
+ [Mencegah caching tiket](aurora-mysql-kerberos-connecting.md#aurora-mysql-kerberos.destroy-tickets)
+ [Pencatatan log untuk autentikasi Kerberos](aurora-mysql-kerberos-connecting.md#aurora-mysql-kerberos.logging)
+ [Mengelola klaster DB di dalam domain](aurora-mysql-kerberos-managing.md)
+ [Memahami keanggotaan domain](aurora-mysql-kerberos-managing.md#aurora-mysql-kerberos-managing.understanding)
## Ikhtisar otentikasi Kerberos untuk cluster Aurora My DB SQL
Untuk mengatur otentikasi Kerberos untuk cluster Aurora My SQL DB, selesaikan langkah-langkah umum berikut. Langkah ini dijelaskan secara lebih mendetail nanti.
1. Gunakan AWS Managed Microsoft AD untuk membuat AWS Managed Microsoft AD direktori. Anda dapat menggunakan Konsol Manajemen AWS, yang AWS CLI, atau Directory Service untuk membuat direktori. Untuk petunjuk terperinci, lihat [Membuat AWS Managed Microsoft AD direktori Anda](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html) di *Panduan AWS Directory Service Administrasi*.
1. Buat peran AWS Identity and Access Management (IAM) yang menggunakan IAM kebijakan terkelola`AmazonRDSDirectoryServiceAccess`. Peran ini memungkinkan Amazon Aurora untuk melakukan panggilan ke direktori Anda.
Agar peran mengizinkan akses, titik akhir AWS Security Token Service (AWS STS) harus diaktifkan di Wilayah AWS untuk AWS akun Anda. AWS STS endpoint aktif secara default di semua Wilayah AWS, dan Anda dapat menggunakannya tanpa tindakan lebih lanjut. *Untuk informasi selengkapnya, lihat [Mengaktifkan dan menonaktifkan AWS STSWilayah AWS dalam Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html#sts-regions-activate-deactivate) Pengguna. IAM*
1. Buat dan konfigurasikan pengguna di AWS Managed Microsoft AD direktori menggunakan alat Microsoft Active Directory. Untuk informasi selengkapnya tentang membuat pengguna di Active Directory, lihat [Mengelola pengguna dan grup di Microsoft AD AWS terkelola](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html) di *Panduan AWS Directory Service Administrasi*.
1. Buat atau modifikasi cluster Aurora My SQL DB. Jika Anda menggunakan salah satu CLI atau RDS API dalam permintaan buat, tentukan pengenal domain dengan `Domain` parameter. Gunakan `d-*` pengenal yang dihasilkan saat Anda membuat direktori dan nama IAM peran yang Anda buat.
Jika Anda memodifikasi cluster Aurora My SQL DB yang ada untuk menggunakan otentikasi Kerberos, tetapkan parameter domain dan IAM peran untuk cluster DB. Temukan cluster DB VPC sama dengan direktori domain.
1. Gunakan kredensyal pengguna RDS utama Amazon untuk terhubung ke klaster Aurora My DB. SQL Buat pengguna database di Aurora My SQL dengan menggunakan instruksi di. [Langkah 6: Buat pengguna MySQL Aurora yang menggunakan autentikasi Kerberos](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-logins)
Pengguna yang Anda buat dengan cara ini dapat masuk ke cluster Aurora My SQL DB menggunakan otentikasi Kerberos. Untuk informasi selengkapnya, lihat [Membuat koneksi dengan Aurora MySQL lewat autentikasi Kerberos](aurora-mysql-kerberos-connecting.md).
Untuk menggunakan autentikasi Kerberos dengan Microsoft Active Directory on-premise atau yang di-host mandiri, buat sebuah *trust forest*. Trust forest adalah hubungan kepercayaan antara dua kelompok domain. Kepercayaan bisa satu arah atau dua arah. Untuk informasi selengkapnya tentang penggunaan trust hutan Directory Service, lihat [Kapan membuat hubungan kepercayaan](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_setup_trust.html) dalam *Panduan AWS Directory Service Administrasi*.
## Batasan otentikasi Kerberos untuk Aurora My SQL
Batasan berikut berlaku untuk otentikasi Kerberos untuk Aurora My: SQL
+ Otentikasi Kerberos didukung untuk Aurora My SQL versi 3.03 dan yang lebih tinggi.
Untuk informasi tentang Wilayah AWS dukungan, lihat[Autentikasi Kerberos dengan Aurora MySQL](Concepts.Aurora_Fea_Regions_DB-eng.Feature.KerberosAuthentication.md#Concepts.Aurora_Fea_Regions_DB-eng.Feature.KerberosAuthentication.amy).
+ Untuk menggunakan otentikasi Kerberos dengan Aurora MySQL, SQL klien atau konektor Saya harus menggunakan versi 8.0.26 atau lebih tinggi pada platform Unix, 8.0.27 atau lebih tinggi di Windows. Jika tidak, plugin `authentication_kerberos_client` sisi klien tidak tersedia dan Anda tidak dapat mengautentikasi.
+ Hanya AWS Managed Microsoft AD didukung di Aurora My. SQL Namun, Anda dapat bergabung dengan klaster Aurora My SQL DB ke domain Microsoft AD Terkelola bersama yang dimiliki oleh akun yang berbeda secara bersamaan. Wilayah AWS
Anda juga dapat menggunakan Active Directory on-premise Anda sendiri. Untuk informasi selengkapnya, lihat [Langkah 2: (Opsional) Buat kepercayaan untuk Active Directory on-premise](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-trust).
+ Saat menggunakan Kerberos untuk mengautentikasi pengguna yang terhubung ke Aurora My SQL cluster dari SQL Klien saya atau dari driver di sistem operasi Windows, secara default kasus karakter nama pengguna database harus cocok dengan kasus pengguna di Direktori Aktif. Misalnya, jika pengguna di Active Directory muncul sebagai `Admin`, nama pengguna basis data harus `Admin`.
Namun, Anda sekarang dapat menggunakan perbandingan nama pengguna yang tidak peka huruf besar/kecil dengan plugin `authentication_kerberos`. Untuk informasi selengkapnya, lihat [Langkah 8: (Opsional) Lakukan konfigurasi perbandingan nama pengguna yang tidak peka huruf besar/kecil](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.case-insensitive).
+ Anda harus melakukan boot ulang instans DB pembaca setelah mengaktifkan fitur untuk menginstal plugin `authentication_kerberos`.
+ Replikasi ke instans DB yang tidak mendukung plugin `authentication_kerberos` dapat menyebabkan kegagalan replikasi.
+ Agar basis data global Aurora dapat menggunakan autentikasi Kerberos, Anda harus mengonfigurasinya untuk setiap klaster DB di dalam basis data global.
+ Nama domain harus kurang dari 62 karakter.
+ Jangan memodifikasi port klaster DB setelah mengaktifkan autentikasi Kerberos. Jika Anda memodifikasi port, autentikasi Kerberos tidak akan berfungsi lagi.
# Menyiapkan autentikasi Kerberos untuk klaster DB Aurora MySQL
Gunakan AWS Managed Microsoft AD untuk mengatur otentikasi Kerberos untuk cluster DB MySQL Aurora. Untuk menyiapkan autentikasi Kerberos, lakukan langkah berikut.
**Topics**
+ [Langkah 1: Buat direktori menggunakan AWS Managed Microsoft AD](#aurora-mysql-kerberos-setting-up.create-directory)
+ [Langkah 2: (Opsional) Buat kepercayaan untuk Active Directory on-premise](#aurora-mysql-kerberos-setting-up.create-trust)
+ [Langkah 3: Buat peran IAM untuk digunakan oleh Amazon Aurora](#aurora-mysql-kerberos-setting-up.CreateIAMRole)
+ [Langkah 4: Buat dan konfigurasikan pengguna](#aurora-mysql-kerberos-setting-up.create-users)
+ [Langkah 5: Buat atau modifikasi klaster DB Aurora MySQL](#aurora-mysql-kerberos-setting-up.create-modify)
+ [Langkah 6: Buat pengguna MySQL Aurora yang menggunakan autentikasi Kerberos](#aurora-mysql-kerberos-setting-up.create-logins)
+ [Langkah 7: Konfigurasi klien MySQL](#aurora-mysql-kerberos-setting-up.configure-client)
+ [Langkah 8: (Opsional) Lakukan konfigurasi perbandingan nama pengguna yang tidak peka huruf besar/kecil](#aurora-mysql-kerberos-setting-up.case-insensitive)
## Langkah 1: Buat direktori menggunakan AWS Managed Microsoft AD
Directory Service membuat Direktori Aktif yang dikelola sepenuhnya di AWS Cloud. Saat Anda membuat AWS Managed Microsoft AD direktori, Directory Service buat dua pengontrol domain dan server Domain Name System (DNS) atas nama Anda. Server-server direktori dibuat di subnet yang berbeda di VPC. Redundansi ini membantu memastikan bahwa direktori Anda tetap dapat diakses meskipun terjadi kegagalan.
Saat Anda membuat AWS Managed Microsoft AD direktori, Directory Service lakukan tugas-tugas berikut atas nama Anda:
+ Menyiapkan Active Directory dalam VPC.
+ Membuat akun administrator direktori dengan nama pengguna `Admin` dan kata sandi yang ditentukan. Anda menggunakan akun ini untuk mengelola direktori Anda.
**catatan**
Pastikan untuk menyimpan kata sandi ini. Directory Service tidak menyimpannya. Anda dapat mengaturnya ulang, tetapi tidak dapat mengambilnya.
+ Membuat grup keamanan untuk pengontrol direktori.
Saat Anda meluncurkan AWS Managed Microsoft AD, AWS buat Unit Organisasi (OU) yang berisi semua objek direktori Anda. OU ini memiliki nama NetBIOS yang Anda masukkan saat membuat direktori Anda. Itu terletak di root domain, yang dimiliki dan dikelola oleh AWS.
`Admin`Akun yang dibuat dengan AWS Managed Microsoft AD direktori Anda memiliki izin untuk kegiatan administratif yang paling umum untuk OU Anda, termasuk:
+ Membuat, memperbarui, atau menghapus pengguna
+ Tambahkan sumber daya ke domain Anda, seperti server file atau server cetak, kemudian tetapkan izin untuk sumber daya itu kepada pengguna di OU Anda
+ Buat tambahan OUs dan wadah
+ Melimpahkan kewenangan
+ Memulihkan objek-objek yang dihapus dari Keranjang Sampah Active Directory
+ Jalankan PowerShell modul AD dan DNS Windows pada Layanan Web Direktori Aktif
Akun `Admin` juga memiliki hak untuk melakukan aktivitas di seluruh domain berikut:
+ Mengelola konfigurasi DNS (menambahkan, menghapus, atau memperbarui catatan, zona, dan penerus)
+ Melihat log peristiwa DNS
+ Melihat log peristiwa keamanan
**Untuk membuat direktori dengan AWS Managed Microsoft AD**
1. Masuk ke Konsol Manajemen AWS dan buka Directory Service konsol di [https://console.aws.amazon.com/directoryservicev2/](https://console.aws.amazon.com/directoryservicev2/).
1. Di panel navigasi, pilih **Direktori**, lalu pilih **Siapkan direktori**.
1. Pilih **AWS Managed Microsoft AD**. AWS Managed Microsoft AD adalah satu-satunya pilihan yang saat ini dapat Anda gunakan dengan Amazon RDS.
1. Masukkan informasi berikut:
**Nama DNS Direktori**
Nama berkualifikasi penuh untuk direktori, seperti **corp.example.com**.
**Nama NetBIOS direktori**
Nama singkat untuk direktori, seperti **CORP**.
**Deskripsi direktori**
(Opsional) Deskripsi untuk direktori.
**Kata sandi admin**
Kata sandi untuk administrator direktori. Proses pembuatan direktori menciptakan akun administrator dengan nama pengguna Admin dan kata sandi ini.
Kata sandi administrator direktori dan tidak boleh menyertakan kata “admin”. Kata sandi bersifat peka kapital dan harus terdiri atas 8–64 karakter. Kata sandi juga harus berisi setidaknya satu karakter dari tiga di antara empat kategori berikut:
+ Huruf kecil (a-z)
+ Huruf besar (A-Z)
+ Angka (0–9)
+ Karakter non-alfanumerik (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
**Konfirmasikan kata sandi**
Kata sandi administrator dimasukkan kembali.
1. Pilih **Selanjutnya**.
1. Masukkan informasi berikut di bagian **Jaringan**, lalu pilih **Berikutnya**:
**VPC**
VPC untuk direktori. Buat klaster DB Aurora MySQL di VPC yang sama ini.
**Subnet**
Subnet untuk server direktori. Kedua subnet harus berada di Zona Ketersediaan yang berbeda.
1. Tinjau informasi direktori dan buat perubahan yang diperlukan. Jika informasi sudah benar, pilih **Buat direktori**.
![\[Halaman detail direktori selama pembuatan\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/AuroraUserGuide/images/WinAuth2.png)
Dibutuhkan beberapa menit untuk membuat direktori. Setelah direktori berhasil dibuat, nilai **Status** berubah menjadi **Aktif**.
Untuk melihat informasi tentang direktori Anda, pilih nama direktori di daftar direktori. Catat nilai **ID Direktori** karena Anda memerlukan nilai ini saat membuat atau memodifikasi klaster DB Aurora MySQL Anda.
![\[ID Direktori di halaman detail Direktori\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/AuroraUserGuide/images/WinAuth3.png)
## Langkah 2: (Opsional) Buat kepercayaan untuk Active Directory on-premise
Jika Anda tidak berencana menggunakan Microsoft Active Directory on-premise Anda sendiri, langsung lompat ke [Langkah 3: Buat peran IAM untuk digunakan oleh Amazon Aurora](#aurora-mysql-kerberos-setting-up.CreateIAMRole).
Untuk menggunakan autentikasi Kerberos dengan Active Directory lokal, Anda perlu membuat hubungan domain yang dapat dipercaya menggunakan trust hutan antara Microsoft Active Directory lokal dan direktori (dibuat di AWS Managed Microsoft AD ). [Langkah 1: Buat direktori menggunakan AWS Managed Microsoft AD](#aurora-mysql-kerberos-setting-up.create-directory) Kepercayaan dapat bersifat satu arah, di mana direktori AWS Managed Microsoft AD mempercayai Microsoft Active Directory on-premise. Kepercayaan juga dapat bersifat dua arah, di mana kedua Active Directory saling mempercayai. Untuk informasi selengkapnya tentang menyiapkan trust menggunakan Directory Service, lihat [Kapan membuat hubungan kepercayaan](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_setup_trust.html) di *Panduan AWS Directory Service Administrasi*.
**catatan**
Jika Anda menggunakan Microsoft Active Directory on-premise:
Klien Windows tidak dapat terhubung menggunakan titik akhir kustom Aurora. Untuk mempelajari selengkapnya, lihat [Koneksi titik akhir Amazon Aurora](Aurora.Overview.Endpoints.md).
Untuk [basis data global](aurora-global-database.md):
Klien Windows dapat terhubung menggunakan titik akhir instans atau klaster di Wilayah AWS utama dari basis data global saja.
Klien Windows tidak dapat terhubung menggunakan titik akhir cluster di sekunder Wilayah AWS.
Pastikan bahwa nama domain Microsoft Active Directory on-premise Anda mencakup perutean akhiran DNS yang sesuai dengan hubungan kepercayaan yang baru dibuat. Tangkapan layar berikut menunjukkan sebuah contoh.
![\[Perutean DNS sesuai dengan kepercayaan yang dibuat\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/AuroraUserGuide/images/kerberos-auth-trust.png)
## Langkah 3: Buat peran IAM untuk digunakan oleh Amazon Aurora
Agar Amazon Aurora memanggil Directory Service Anda, Anda memerlukan peran AWS Identity and Access Management (IAM) yang menggunakan kebijakan IAM terkelola. `AmazonRDSDirectoryServiceAccess` Peran ini memungkinkan Aurora untuk melakukan panggilan ke Directory Service.
Saat Anda membuat cluster DB menggunakan Konsol Manajemen AWS, dan Anda memiliki `iam:CreateRole` izin, konsol akan membuat peran ini secara otomatis. Dalam hal ini, nama perannya adalah `rds-directoryservice-kerberos-access-role`. Jika tidak, Anda harus membuat peran IAM secara manual. Saat Anda membuat peran IAM ini, pilih`Directory Service`, dan lampirkan kebijakan AWS terkelola `AmazonRDSDirectoryServiceAccess` padanya.
Untuk informasi selengkapnya tentang membuat peran IAM untuk layanan, lihat [Membuat peran untuk mendelegasikan izin ke AWS layanan di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) Pengguna *IAM*.
Anda memiliki opsi untuk membuat kebijakan dengan izin yang diperlukan alih-alih menggunakan kebijakan IAM yang dikelola `AmazonRDSDirectoryServiceAccess`. Dalam hal ini, peran IAM harus memiliki kebijakan kepercayaan IAM berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"directoryservice.rds.amazonaws.com",
"rds.amazonaws.com"
]
},
"Action": "sts:AssumeRole"
}
]
}
```
------
Peran ini juga harus memiliki kebijakan peran IAM berikut.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ds:DescribeDirectories",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:GetAuthorizedApplicationDetails"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
## Langkah 4: Buat dan konfigurasikan pengguna
Anda dapat membuat pengguna dengan alat Pengguna Active Directory dan Komputer. Alat ini bagian dari alat-alat Active Directory Domain Services dan Active Directory Lightweight Directory Services. Pengguna mewakili orang atau entitas individual yang memiliki akses ke direktori Anda.
Untuk membuat pengguna di Directory Service direktori, Anda menggunakan instans Amazon EC2 lokal atau Amazon EC2 berdasarkan Microsoft Windows yang digabungkan ke Directory Service direktori Anda. Anda harus login ke instans sebagai pengguna yang memiliki hak istimewa untuk membuat pengguna. Untuk informasi selengkapnya, lihat [Mengelola pengguna dan grup di AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/creating_ad_users_and_groups.html) di *Panduan Administrasi Layanan Direktori AWS *.
## Langkah 5: Buat atau modifikasi klaster DB Aurora MySQL
Buat atau modifikasi klaster DB Aurora MySQL untuk penggunaan dengan direktori Anda. Anda dapat menggunakan konsol, AWS CLI, atau RDS API untuk mengaitkan cluster DB dengan direktori. Anda dapat melakukan tugas ini dengan salah satu cara berikut:
+ [Buat cluster Aurora MySQL DB baru menggunakan konsol, perintah CLI, atau operasi Create [ create-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-cluster.html)RDS API. DBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBCluster.html)
Untuk petunjuk, lihat [Membuat klaster DB Amazon Aurora](Aurora.CreateInstance.md).
+ [Ubah cluster Aurora MySQL DB yang ada menggunakan konsol, perintah CLI, atau operasi Modify [modify-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-cluster.html)RDS API. DBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBCluster.html)
Untuk petunjuk, lihat [Memodifikasi klaster DB Amazon Aurora](Aurora.Modifying.md).
+ [Kembalikan cluster DB MySQL Aurora dari snapshot DB menggunakan konsol, perintah [restore-db-cluster-fromCLI](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-cluster-from-snapshot.html) -snapshot, atau operasi Restore RDS API. DBCluster FromSnapshot](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBClusterFromSnapshot.html)
Untuk petunjuk, lihat [Memulihkan dari snapshot klaster DB](aurora-restore-snapshot.md).
+ [Kembalikan cluster Aurora MySQL DB ke point-in-time menggunakan konsol, perintah - [ restore-db-cluster-topoint-in-timeCLI](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-cluster-to-point-in-time.html), atau operasi Restore RDS API. DBCluster ToPointInTime](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBClusterToPointInTime.html)
Untuk petunjuk, lihat [Memulihkan klaster DB ke waktu tertentu](aurora-pitr.md).
Autentikasi Kerberos hanya didukung untuk klaster DB Aurora MySQL dalam VPC. Klaster DB boleh berada dalam VPC yang sama dengan direktori, atau dalam VPC yang berbeda. VPC klaster DB harus memiliki grup keamanan VPC yang memungkinkan komunikasi keluar ke direktori Anda.
### Konsol
Saat Anda menggunakan konsol untuk membuat, memodifikasi, atau memulihkan klaster DB, pilih **Autentikasi Kerberos** di bagian **Autentikasi basis data**. Pilih **Jelajah Direktori** lalu pilih direktori, atau pilih **Buat direktori baru**.
![\[Pengaturan autentikasi Kerberos saat membuat klaster DB\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/AuroraUserGuide/images/kerberos-auth-create-cluster.png)
### AWS CLI
Saat Anda menggunakan AWS CLI atau RDS API, kaitkan cluster DB dengan direktori. Parameter berikut diperlukan agar klaster DB dapat menggunakan direktori domain yang Anda buat:
+ Untuk parameter `--domain`, gunakan pengidentifikasi domain (pengidentifikasi "d-\$1") yang dihasilkan saat Anda membuat direktori.
+ Untuk parameter `--domain-iam-role-name`, gunakan peran yang Anda buat dengan menggunakan kebijakan IAM terkelola `AmazonRDSDirectoryServiceAccess`.
Misalnya, perintah CLI berikut memodifikasi klaster DB untuk menggunakan direktori.
Untuk Linux, macOS, atau Unix:
```
aws rds modify-db-cluster \
--db-cluster-identifier mydbcluster \
--domain d-ID \
--domain-iam-role-name role-name
```
Untuk Windows:
```
aws rds modify-db-cluster ^
--db-cluster-identifier mydbcluster ^
--domain d-ID ^
--domain-iam-role-name role-name
```
**penting**
Jika Anda memodifikasi klaster DB untuk mengaktifkan autentikasi Kerberos, lakukan boot ulang terhadap instans DB pembaca setelah melakukan perubahan.
## Langkah 6: Buat pengguna MySQL Aurora yang menggunakan autentikasi Kerberos
Cluster DB bergabung ke AWS Managed Microsoft AD domain. Jadi, Anda dapat membuat pengguna Aurora MySQL dari pengguna Active Directory di domain Anda. Izin basis data dikelola melalui izin Aurora MySQL standar yang diberikan kepada dan dicabut dari pengguna ini.
Anda dapat mengizinkan pengguna Active Directory untuk mengautentikasi dengan Aurora MySQL. Untuk melakukannya, pertama-tama gunakan kredensial pengguna primer Amazon RDS untuk terhubung ke klaster DB Aurora MySQL seperti klaster DB lainnya. Setelah Anda login, buat pengguna yang diautentikasi secara eksternal dengan autentikasi Kerberos di Aurora MySQL seperti yang ditunjukkan di sini:
```
CREATE USER user_name@'host_name' IDENTIFIED WITH 'authentication_kerberos' BY 'realm_name';
```
+ Ganti `user_name` dengan nama pengguna. Pengguna (baik manusia maupun aplikasi) dari domain Anda sekarang dapat terhubung ke klaster DB dari mesin klien yang digabungkan ke domain menggunakan autentikasi Kerberos.
+ Ganti `host_name` dengan nama host. Anda dapat menggunakan `%` sebagai wildcard. Anda juga dapat menggunakan alamat IP tertentu untuk nama host.
+ Ganti *realm\$1name* dengan nama ranah direktori domain. Nama realm biasanya sama dengan nama domain DNS dalam huruf besar, seperti `CORP.EXAMPLE.COM`. Realm adalah sekelompok sistem yang menggunakan Pusat Distribusi Kunci Kerberos yang sama.
Contoh berikut ini menciptakan pengguna basis data dengan nama `Admin` yang mengautentikasi terhadap Active Directory dengan nama realm `MYSQL.LOCAL`.
```
CREATE USER Admin@'%' IDENTIFIED WITH 'authentication_kerberos' BY 'MYSQL.LOCAL';
```
### Memodifikasi login Aurora MySQL yang ada
Anda juga dapat memodifikasi login Aurora MySQL yang ada untuk menggunakan autentikasi Kerberos dengan menggunakan sintaks berikut:
```
ALTER USER user_name IDENTIFIED WITH 'authentication_kerberos' BY 'realm_name';
```
## Langkah 7: Konfigurasi klien MySQL
Untuk mengonfigurasi klien MySQL, lakukan langkah-langkah berikut:
1. Buat file `krb5.conf` (atau yang setara) untuk menunjuk ke domain.
1. Verifikasi bahwa lalu lintas dapat mengalir antara host klien dan Directory Service. Gunakan utilitas jaringan seperti Netcat, untuk tugas-tugas berikut:
+ Memeriksa lalu lintas melalui DNS untuk port 53.
+ Verifikasi lalu lintas TCP/UDP untuk port 53 dan untuk Kerberos, yang mencakup port 88 dan 464 untuk. Directory Service
1. Periksa bahwa lalu lintas dapat mengalir antara host klien dan instans basis data melalui port basis data. Misalnya, gunakan `mysql` untuk menghubungkan dan mengakses basis data.
Berikut ini adalah contoh `krb5.conf` konten untuk AWS Managed Microsoft AD.
```
[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = example.com
admin_server = example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
```
Berikut ini adalah contoh konten `krb5.conf` untuk Microsoft Active Directory on-premise.
```
[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = example.com
admin_server = example.com
}
ONPREM.COM = {
kdc = onprem.com
admin_server = onprem.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
.onprem.com = ONPREM.COM
onprem.com = ONPREM.COM
.rds.amazonaws.com = EXAMPLE.COM
.amazonaws.com.rproxy.govskope.us.cn = EXAMPLE.COM
.amazon.com = EXAMPLE.COM
```
## Langkah 8: (Opsional) Lakukan konfigurasi perbandingan nama pengguna yang tidak peka huruf besar/kecil
Secara default, huruf besar/kecil nama pengguna basis data MySQL harus sesuai dengan login Active Directory. Namun, Anda sekarang dapat menggunakan perbandingan nama pengguna yang tidak peka huruf besar/kecil dengan plugin `authentication_kerberos`. Untuk melakukannya, Anda mengatur parameter klaster DB `authentication_kerberos_caseins_cmp` ke `true`.
**Menggunakan perbandingan nama pengguna yang tidak peka huruf besar/kecil**
1. Buat grup parameter klaster DB kustom. Ikuti prosedur di [Membuat grup parameter cluster DB di Amazon Aurora](USER_WorkingWithParamGroups.CreatingCluster.md).
1. Edit grup parameter baru untuk mengatur nilai `authentication_kerberos_caseins_cmp` ke `true`. Ikuti prosedur di [Memodifikasi parameter dalam grup parameter cluster DB di Amazon Aurora](USER_WorkingWithParamGroups.ModifyingCluster.md).
1. Kaitkan grup parameter klaster DB dengan klaster DB Aurora MySQL Anda. Ikuti prosedur di [Mengaitkan grup parameter cluster DB dengan cluster DB di Amazon Aurora](USER_WorkingWithParamGroups.AssociatingCluster.md).
1. Boot ulang klaster DB.
# Membuat koneksi dengan Aurora MySQL lewat autentikasi Kerberos
Untuk menghindari kesalahan, gunakan klien MySQL dengan versi 8.0.26 atau lebih tinggi pada platform Unix, 8.0.27 atau lebih tinggi di Windows.
## Menggunakan login Kerberos Aurora MySQL untuk terhubung ke klaster DB
Untuk membuat koneksi ke Aurora MySQL dengan autentikasi Kerberos, Anda masuk sebagai pengguna basis data yang Anda buat menggunakan instruksi di [Langkah 6: Buat pengguna MySQL Aurora yang menggunakan autentikasi Kerberos](aurora-mysql-kerberos-setting-up.md#aurora-mysql-kerberos-setting-up.create-logins).
Pada prompt perintah, buat koneksi ke salah satu titik akhir yang terkait dengan klaster DB Aurora MySQL Anda. Saat Anda diminta memasukkan kata sandi, masukkan kata sandi Kerberos yang terkait dengan nama penggunanya.
Saat Anda mengautentikasi dengan Kerberos, sebuah *tiket pemberian tiket* (TGT) dibuat jika belum ada. Plugin `authentication_kerberos` menggunakan TGT untuk mendapatkan *tiket layanan*, yang kemudian disajikan ke server basis data Aurora MySQL.
Anda dapat menggunakan klien MySQL untuk terhubung ke Aurora MySQL dengan autentikasi Kerberos menggunakan Windows atau Unix.
### Unix
Anda dapat terhubung dengan menggunakan salah satu metode berikut:
+ Dapatkan TGT secara manual. Dalam hal ini, Anda tidak perlu memberikan kata sandi ke klien MySQL.
+ Berikan kata sandi untuk login Active Directory langsung ke klien MySQL.
Plugin sisi klien didukung pada platform Unix untuk klien MySQL versi 8.0.26 dan yang lebih tinggi.
**Terhubung dengan mendapatkan TGT secara manual**
1. Pada antarmuka baris perintah, gunakan perintah berikut untuk mendapatkan TGT.
```
kinit user_name
```
1. Gunakan perintah `mysql` berikut ini untuk masuk ke titik akhir instans DB klaster DB Anda.
```
mysql -h DB_instance_endpoint -P 3306 -u user_name -p
```
**catatan**
Autentikasi dapat gagal jika keytab dirotasi pada instans DB. Dalam hal ini, dapatkan TGT baru dengan menjalankan ulang `kinit`.
**Terhubung secara langsung**
1. Pada antarmuka baris perintah, gunakan perintah `mysql` berikut ini untuk masuk ke titik akhir instans DB klaster DB Anda.
```
mysql -h DB_instance_endpoint -P 3306 -u user_name -p
```
1. Masukkan kata sandi untuk pengguna Direktori Aktif.
### Windows
Pada Windows, autentikasi biasanya dilakukan pada waktu login, jadi Anda tidak perlu mendapatkan TGT secara manual untuk terhubung ke klaster DB Aurora MySQL. Huruf besar/kecil pada nama pengguna basis data harus sesuai dengan karakter pengguna di Active Directory. Misalnya, jika pengguna di Active Directory muncul sebagai `Admin`, nama pengguna basis data harus `Admin`.
Plugin sisi klien didukung pada Windows untuk klien MySQL versi 8.0.27 dan yang lebih tinggi.
**Terhubung secara langsung**
+ Pada antarmuka baris perintah, gunakan perintah `mysql` berikut ini untuk masuk ke titik akhir instans DB klaster DB Anda.
```
mysql -h DB_instance_endpoint -P 3306 -u user_name
```
## Autentikasi Kerberos dengan basis data global Aurora
Autentikasi Kerberos untuk Aurora MySQL didukung untuk basis data global Aurora. Untuk mengautentikasi pengguna pada klaster DB sekunder menggunakan Active Directory klaster DB primer, lakukan replikasi Active Directory ke Wilayah AWS sekunder. Anda mengaktifkan autentikasi Kerberos pada klaster sekunder menggunakan ID domain yang sama seperti untuk klaster primer. Replikasi AWS Managed Microsoft AD hanya didukung dengan versi Active Directory Enterprise. Untuk informasi selengkapnya, lihat [Replikasi Multi-Wilayah](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_configure_multi_region_replication.html) di *Panduan Administrasi AWS Directory Service*.
## Migrasi dari RDS for MySQL ke Aurora MySQL
Setelah Anda bermigrasi dari RDS for MySQL dengan autentikasi Kerberos diaktifkan ke Aurora MySQL, ubah pengguna yang dibuat dengan plugin `auth_pam` untuk menggunakan plugin `authentication_kerberos`. Sebagai contoh:
```
ALTER USER user_name IDENTIFIED WITH 'authentication_kerberos' BY 'realm_name';
```
## Mencegah caching tiket
Jika TGT yang valid tidak ada saat aplikasi klien MySQL dimulai, aplikasi dapat memperoleh dan meng-cache TGT. Jika Anda ingin mencegah caching TGT, atur parameter konfigurasi dalam file `/etc/krb5.conf`.
**catatan**
Konfigurasi ini hanya berlaku untuk host klien yang menjalankan Unix, bukan Windows.
**Mencegah caching TGT**
+ Tambahkan bagian `[appdefaults]` ke `/etc/krb5.conf` seperti berikut:
```
[appdefaults]
mysql = {
destroy_tickets = true
}
```
## Pencatatan log untuk autentikasi Kerberos
Variabel lingkungan `AUTHENTICATION_KERBEROS_CLIENT_LOG` menetapkan tingkat pencatatan log untuk autentikasi Kerberos. Anda dapat menggunakan log untuk debugging sisi klien.
Nilai yang diizinkan adalah 1-5. Pesan log ditulis ke output kesalahan standar. Tabel berikut ini menjelaskan setiap tingkat pencatatan log.
| Tingkat pencatatan log | Deskripsi |
| --- | --- |
| 1 atau tidak diatur | Tidak ada pencatatan log |
| 2 | Pesan kesalahan |
| 3 | Pesan kesalahan dan peringatan |
| 4 | Pesan kesalahan, peringatan, dan informasi |
| 5 | Pesan kesalahan, peringatan, informasi, dan debug |
# Mengelola klaster DB di dalam domain
Anda dapat menggunakan AWS CLI atau API RDS untuk mengelola klaster DB dan hubungannya dengan Active Directory terkelola Anda. Misalnya, Anda dapat mengaitkan Active Directory untuk autentikasi Kerberos dan melepaskan Active Direktory untuk menonaktifkan autentikasi Kerberos. Anda juga dapat memindahkan klaster DB untuk diautentikasi secara eksternal oleh satu Active Directory ke yang lain.
Misalnya, menggunakan API Amazon RDS, Anda dapat melakukan hal berikut:
+ Untuk mencoba ulang pengaktifan autentikasi Kerberos untuk keanggotaan yang gagal, gunakan operasi API `ModifyDBInstance` dan tentukan ID direktori keanggotaan saat ini.
+ Untuk memperbarui nama peran IAM untuk keanggotaan, gunakan operasi API `ModifyDBInstance` dan tentukan ID direktori keanggotaan saat ini dan peran IAM baru.
+ Untuk menonaktifkan autentikasi Kerberos pada klaster DB, gunakan operasi API `ModifyDBInstance` dan tentukan `none` sebagai parameter domain.
+ Untuk memindahkan klaster DB dari satu domain ke domain lain, gunakan operasi API `ModifyDBInstance` dan tentukan pengidentifikasi domain baru sebagai parameter domain.
+ Untuk memerinci keanggotaan bagi setiap klaster DB, gunakan operasi API `DescribeDBInstances`.
## Memahami keanggotaan domain
Setelah Anda membuat atau mengubah klaster DB, klaster tersebut akan menjadi anggota domain. Anda dapat melihat status keanggotaan domain untuk klaster DB dengan menjalankan perintah CLI [describe-db-clusters](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-clusters.html). Status klaster DB dapat berupa salah satu hal berikut ini:
+ `kerberos-enabled` – Klaster DB mengaktifkan autentikasi Kerberos.
+ `enabling-kerberos` – AWS sedang dalam proses mengaktifkan autentikasi Kerberos pada klaster DB ini.
+ `pending-enable-kerberos` – Mengaktifkan autentikasi Kerberos tertunda pada klaster DB ini.
+ `pending-maintenance-enable-kerberos` – AWS akan mencoba mengaktifkan autentikasi Kerberos pada klaster DB selama periode pemeliharaan terjadwal berikutnya.
+ `pending-disable-kerberos` – Menonaktifkan autentikasi Kerberos tertunda pada klaster DB ini.
+ `pending-maintenance-disable-kerberos` – AWS akan mencoba menonaktifkan autentikasi Kerberos pada klaster DB selama periode pemeliharaan terjadwal berikutnya.
+ `enable-kerberos-failed` – Masalah konfigurasi telah mencegah AWS dari mengaktifkan autentikasi Kerberos pada klaster DB. Periksa dan perbaiki konfigurasi Anda sebelum menerbitkan ulang perintah modifikasi klaster DB.
+ `disabling-kerberos` – AWS sedang dalam proses menonaktifkan autentikasi Kerberos pada klaster DB ini.
Permintaan untuk mengaktifkan autentikasi Kerberos dapat gagal karena masalah konektivitas jaringan atau peran IAM yang salah. Misalnya, anggaplah Anda membuat klaster DB atau memodifikasi klaster DB yang sudah ada dan upaya untuk mengaktifkan autentikasi Kerberos tersebut gagal. Dalam hal ini, terbitkan ulang perintah modifikasi atau modifikasi klaster DB yang baru dibuat untuk bergabung ke domain.