投稿日: Aug 27, 2020
Amazon RDS for Oracle は、AWS GovCloud (米国) リージョンで、Kerberos と Microsoft Active Directory を使用した、データベースユーザーの外部認証のサポートを開始しました。
Kerberos は、マサチューセッツ工科大学 (MIT) により開発されたネットワーク認証プロトコルです。Kerberos ではチケットと対称鍵暗号の使用により、ネットワーク経由でパスワードを送信する必要をなくします。Kerberos は Microsoft Active Directory に組み込まれており、Oracle Database などのネットワークリソースに対するユーザー認証を行えるように設計されています。
Amazon RDS for Oracle での Kerberos と Microsoft Active Directory のサポートにより、Oracle Database ユーザーのシングルサインオンと一元化された認証という利点が得られます。ユーザーの認証情報を同じ Active Directory に保存することにより、複数の DB インスタンス用のユーザーの認証情報を保存および管理するための一元化された場所を持つことができるようになるため、時間と労力を削減できます。
この機能を使用して、データベースユーザーが AWS Directory Service for Microsoft Active Directory に保存された認証情報を使用して Amazon RDS for Oracle に対して認証を行えるようにすることができます。または、オンプレミスの Active Directory と AWS のマネージド型 Active Directory との間の確立されたフォレスト信頼関係を持つ、オンプレミスの Microsoft Active Directory に保存された認証情報を使用して Amazon RDS for Oracle に対して認証を行えるようにすることができます。同じ AWS リージョン内の異なる VPC に対して同じ Active Directory を使用することができます。また、Amazon RDS for Oracle インスタンスを異なるアカウントで所有されている共有 Active Directory ドメインに参加させることもできます。
Amazon RDS for Oracle での Kerberos 認証は追加料金やライセンスなしで使用できます。この機能は、Enterprise Edition の 11.2.0.4、12.1.0.2、12.2.0.1、18c、および 19c バージョンと、Standard Edition 2 の 12.1.0.2、12.2.0.1、18c、および 19c バージョンでサポートされています。
Kerberos 認証方法を Amazon RDS for Oracle DB インスタンスで使用するには、AWS Directory Service for Microsoft Active Directory (Enterprise Edition) にサインアップしてください。AWS マネジメントコンソールでの新しい DB インスタンスの作成時に、Amazon RDS コンソール内の [Create DB Instance (DB インスタンスの作成)] ウィザードの [Advanced Settings (詳細設定)] セクションで Active Directory レコードを選択することによって、Kerberos 認証を有効化できます。まだ Active Directory レコードが存在しない場合、[Create a New Directory (新規ディレクトリの作成)] のリンクをクリックして新しいディレクトリレコードを作成します。既存の DB インスタンスで Kerberos 認証方法を使用するように設定を変更するには、[Modify DB Instance (DB インスタンスの変更)] ウィザードの Kerberos 認証セクションで同様のオプションを選択します。
オンプレミスの既存の Microsoft Active Directory を使用するには、まず初めに上記の手順にしたがって AWS のマネージド型 Active Directory を設定します。次に、オンプレミスディレクトリと AWS マネージド型 AD の間のフォレスト信頼関係をこちらの手順に従って設定します。
Amazon RDS for Oracle を使用すると、クラウドでの Oracle Database のデプロイを簡単にセットアップ、運用、およびスケーリングできます。Amazon RDS for Oracle での Kerberos 認証およびご利用いただけるリージョンの情報の詳細については、ドキュメントをご覧ください。