使用Active Directory和Heimdall Data管理数据库角色(由Heimdall Data赞助)

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/DAT205-S-Managing_database_roles_with_Active_Directory_and_Heimdall_Data__sponsored_by_Heimdall_Data___Heimdall_Data_-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 全球各地的组织正在使用Active Directory和组成员资格来管理对数据的访问。然而,大多数数据库都与Active Directory管理脱钩,由DBA或自定义流程手动管理。在这个闪电式演讲中,了解如何使用Heimdall Data来为用户自动化这个角色管理,以确保访问安全,并发现您可以如何提供谁在何时访问过数据的审计跟踪,以增强遵守职责分离授权和最小特权原则的能力。这个演示由亚马逊云科技合作伙伴Heimdall Data提供。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共500字，阅读时间大约是2分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 埃里克·布兰德斯（Eric Brands）担任海姆达尔数据（Heimdall Data）公司的首席技术官，他阐述了该公司产品如何在自动化MySQL、PostgreSQL、SQL Server和[Amazon Aurora](https://aws.amazon.com/cn/rds/aurora/?trk=cndc-detail)以及Redshift等数据库的角色和用户管理方面发挥作用。首先，他讨论了一些海姆达尔数据所解决的关键安全原则： - 职责分离：数据库管理员不应能直接登录数据库，因为这违反了诸如萨班斯-奥克斯利法案等规定。海姆达尔数据解决了这个合规问题。 - 最少特权原则：人们应该只在需要时才能访问数据，但DBAs通常具有持续的超级用户访问权限，这违反了这一原则。海姆达尔数据帮助解决了这个问题。 - 零信任模型：始终验证访问。超级用户违反所有三个原则，因此应解决访问问题。 接下来，他讨论了数据库目前如何与Active Directory集成： - PostgreSQL可以通过AD进行身份验证，但角色管理仍在PostgreSQL本身中，而不是与AD同步。 - MySQL的情况更糟糕——仅支持企业版和额外模块的AD集成，用户在数据库中完全受管理。 - SQL Server在角色集成方面表现较好，但用户在数据库本身中仍然需要配置。对AD的更改不会自动同步。 - 总之，目前在现有的AD集成下，没有简单的方法跨数据库同步谁能访问哪些数据。 海姆达尔数据通过充当监护人的代理提供“零接触用户管理”。在认证过程中，代理会针对AD进行身份验证，提取组，将组映射到数据库角色，并在用户首次登录时在数据库中创建具有适当角色的用户。这确保了职责分离和最少特权原则。 海姆达尔数据还宣布了一个新的数据库门户，进一步解决了这些问题。在多重身份验证登录后，用户可以申请临时访问他们需要的仅为所需的数据，根据其AD组成员资格进行批准。使用后，访问被撤销。这提供了关于谁访问了什么和何时访问的审计轨迹。 该门户还可以在不涉及直接DBAs的情况下进行角色管理。带有敏感数据的数据库列可以被标记,构建相应的角色,并为超级用户访问配置审批链。生物识别身份验证选项也可用。 海姆达尔数据的代理层将用户从AD同步到数据库。其他安全功能包括数据库防火墙、用于检测可疑活动的蜂蜜令牌查询以及全面的审计日志。 总的来说，Heimdall Data的代理架构和新的数据库门户通过整合Active Directory实现了集中的用户和角色管理、临时的即时权限提升以及丰富的安全特性，从而保护访问并提供审计记录。这使得数据库的安全性及合规性得到了增强，超过了传统的超级用户模式。 **下面是一些演讲现场的精彩瞬间：** 以下是关于海姆达尔解决方案的概述，该解决方案旨在解决由于数据库管理员权限过大而引发的数据库安全和合规性问题。  亚马逊云科技已经成功地将[Amazon Aurora](https://aws.amazon.com/cn/rds/aurora/?trk=cndc-detail)与Active Directory进行了无缝集成，以便实现简化的用户身份验证和访问管理。  在亚马逊云科技的领导者们的讨论中，他们解释了如何通过基于Active Directory组成员关系的动态、实时近场配置来实现零接触用户管理，从而确保职责分离和最小特权原则的执行。  演讲者们描述了如何在亚马逊云科技中使用Active Directory实现精细的访问控制以及审计功能。  这些审计工具能够生成报告，展示谁有权访问诸如社会保险号等敏感数据，从而简化审计流程。  亚马逊云科技的数据库角色编辑器使得管理具有如紧急访问功能的数据库用户和角色变得轻松。  领导者们还探讨了Active Directory如何有助于实现亚马逊云科技服务的安全访问自动检测以及详细的查询审计。  ## 总结 埃里克·布兰德斯（Eric Brands）担任海姆达尔数据（Heimdall Data）公司的首席技术官，他向我们展示了其产品如何与Active Directory实现集成，从而实现数据库角色和用户管理的自动化。首先，他强调了海姆达尔数据试图解决的三个关键安全原则：职责分离、最小权限原则和零信任模型。然而，许多组织往往通过授予数据库管理员超级用户访问权限来违反这些原则。 接下来，他解释了目前大多数数据库与Active Directory的集成程度有限。例如，PostgreSQL可以验证AD身份，但无法同步角色。而MySQL需要插件和企业版。尽管SQL Server在这方面表现得相对较好，但仍然需要在数据库本身上进行用户配置。为了解决这个问题，海姆达尔数据引入了一个代理层来实现“零接触用户管理”。当用户进行认证时，代理会提取他们的AD组，将这些组映射到数据库角色，并创建具有适当访问权限的用户。这样，就能确保适当的职责分离和最小权限原则得到遵守。 此外，海姆达尔数据还提供了一个数据库门户，使得像DBA这样的用户可以请求对资源的临时访问。访问请求会通过审批工作流程进行处理。一旦获得批准，用户在完成任务后就会获得访问权限，随后将其撤销。这样，就提供了一个审计轨迹，显示了谁何时曾经拥有过访问权限。该门户还支持诸如双因素身份验证、角色管理和增强的监控和审计等功能。例如，它还可以检测和标记访问虚假数据的查询，从而有助于发现过度使用虚假数据的情形。 总的来说，海姆达尔数据通过将Active Directory和数据库集成在一起，实现了安全原则的自动化应用，提供了精细的访问控制，以及详细的监控和审计功能。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")