張貼日期: Oct 1, 2019

Amazon RDS for Oracle 現在支援透過 Kerberos 和 Microsoft Active Directory 對資料庫使用者進行外部身份驗證。

Kerberos 是由麻省理工學院 (MIT) 開發的網路身份驗證協定。它使用票證和對稱式金鑰加密技術,免除透過網路傳輸密碼的需要。Kerberos 已內建至 Microsoft Active Directory,旨在驗證網路資源 (例如 Oracle 資料庫) 的使用者身份。

Amazon RDS for Oracle 對 Kerberos 和 Microsoft Active Directory 的支援,提供了 Oracle 資料庫使用者的單一登入和集中式身份驗證優點。將所有使用者登入資料保存在同一個 Active Directory 中,這樣您就有一個集中的位置來存放和管理多個資料庫執行個體,讓您節省時間和精力。

有了這個功能之後,資料庫使用者便可以使用 AWS Directory Service for Microsoft Active Directory 中存放的登入資料,或者內部部署 Microsoft Active Directory 中存放的登入資料,配合內部部署 Active Directory 和 AWS Managed Active Directory 之間形成的樹系信任關係,進行 Amazon RDS for Oracle 的身份驗證。您可以在相同 AWS 區域內的不同 VPC 使用相同的 Active Directory。您也可以將 Amazon RDS for Oracle 執行個體加入到不同帳戶擁有的 Active Directory 共享網域中。

您可以使用 Amazon RDS for Oracle 進行 Kerberos 身份驗證,無需支付額外費用或授權。Enterprise Edition 的 11.2.0.4、12.1.0.2、12.2.0.1 和 18c 版本以及 Standard Edition 2 的 12.1.0.2、12.2.0.1和 18c 版本皆支援這個功能。

要將 Kerberos 身份驗證方法與 Amazon RDS for Oracle DB 執行個體搭配使用,請註冊 AWS Directory Service for Microsoft Active Directory (Enterprise Edition)。當您在 AWS 管理主控台建立新的資料庫執行個體時,可以在 Amazon RDS 主控台的 Create DB Instance Wizard 的 Advanced Settings 部分中選擇 Active Directory 記錄,即可啟用 Kerberos 身份驗證。如果 Active Directory 記錄不存在,請按一下 Create a New Directory 連結建立新的目錄記錄。您可以使用 Modify DB Instance Wizard 中 Kerberos 身份驗證部分下類似的選項,將現有資料庫執行個體修改為使用 Kerberos 身份驗證方法。 

要使用現有的內部部署 Microsoft Active Directory,請按照上述步驟首先設定 AWS managed Active Directory,然後按照這裡顯示的步驟在內部部署目錄和 AWS Managed AD 之間建立樹系信任關係。 

Amazon RDS for Oracle 可讓您輕鬆設定、操作和擴展雲端中的 Oracle Database 部署。要進一步了解如何利用 Amazon RDS for Oracle 進行 Kerberos 身份驗證,包括推出此功能的區域,請參閱文件。