Einrichten einer Windows-Authentifizierung für SQL Server-DB-Instances - Amazon Relational Database Service
Schritt 1: Erstellen Sie ein Verzeichnis mit dem AWS Directory Service for Microsoft Active DirectorySchritt 2: Erstellen der IAM-Rolle für die Verwendung durch Amazon RDSSchritt 3: Erstellen und Konfigurieren von Benutzern und GruppenSchritt 4: Aktivieren des VPC-übergreifenden DatenverkehrsSchritt 5: Erstellen oder Modifizieren einer SQL Server-DB-InstanceSchritt 6: Erstellen von SQL Server-Anmeldungen für die Windows-Authentifizierung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten einer Windows-Authentifizierung für SQL Server-DB-Instances

Sie verwenden AWS Directory Service for Microsoft Active Directory, auch genannt AWS Managed Microsoft AD, um die Windows-Authentifizierung für eine SQL Server-DB-Instance einzurichten. Um die Windows-Authentifizierung einzurichten, führen Sie folgende Schritte aus.

Schritt 1: Erstellen Sie ein Verzeichnis mit dem AWS Directory Service for Microsoft Active Directory

AWS Directory Service erstellt ein vollständig verwaltetes Microsoft Active Directory in der AWS Cloud. Wenn Sie ein AWS Managed Microsoft AD Verzeichnis erstellen, AWS Directory Service erstellt in Ihrem Namen zwei Domänencontroller und DNS-Server (Domain Name Service). Die Verzeichnis-Server werden in zwei Subnetzen in zwei verschiedenen Availability Zones in einer VPC erstellt. Diese Redundanz hilft sicherzustellen, dass Ihr Verzeichnis verfügbar bleibt, auch wenn ein Fehler auftritt.

Wenn Sie ein AWS Managed Microsoft AD Verzeichnis erstellen, AWS Directory Service führt er in Ihrem Namen die folgenden Aufgaben aus:

  • Richtet ein Microsoft Active Directory in der VPC ein.

  • Erstellt ein Verzeichnisadministratorkonto mit dem Benutzernamen Admin und dem angegebenen Passwort. Mit diesem Konto verwalten Sie das Verzeichnis.

  • Erstellt eine Sicherheitsgruppe für die Verzeichniscontroller.

Wenn Sie eine starten AWS Directory Service for Microsoft Active Directory, AWS erstellt eine Organisationseinheit (OU), die alle Objekte Ihres Verzeichnisses enthält. Diese OU erhält den NetBIOS-Namen, den Sie beim Erstellen des Verzeichnisses eingegeben haben, und befindet sich im Domainstamm. Der Domänenstamm gehört und wird von verwaltet AWS.

Das Admin-Konto, das zusammen mit dem Verzeichnis AWS Managed Microsoft AD erstellt wurde, verfügt über die Berechtigungen für die häufigsten administrativen Aufgaben in Bezug auf Ihre OU:

  • Erstellen, Aktualisieren oder Löschen von Benutzern, Gruppen und Computern

  • Hinzufügen von Ressourcen zu Ihrer Domäne, etwa Datei- oder Druckserver, und anschließendes Gewähren der zugehörigen Ressourcenberechtigungen für Benutzer und Gruppen in der OU.

  • Erstellen Sie zusätzliche OUs Container.

  • Delegieren von Befugnissen.

  • Erstellen und Verknüpfen von Gruppenrichtlinien.

  • Wiederherstellen von gelöschten Objekten aus dem Active Directory-Papierkorb.

  • Führen Sie AD- und PowerShell DNS-Windows-Module im Active Directory-Webdienst aus.

Das Admin-Konto verfügt zudem über die Rechte zum Ausführen der folgenden domänenübergreifenden Aktivitäten:

  • Verwalten von DNS-Konfigurationen (Hinzufügen, Entfernen oder Aktualisieren von Datensätzen, Zonen und Weiterleitungen).

  • Aufrufen von DNS-Ereignisprotokollen.

  • Anzeigen von Sicherheitsereignisprotokollen.

Um ein Verzeichnis zu erstellen mit AWS Managed Microsoft AD

  1. Wählen Sie im Navigationsbereich der AWS Directory Service -Konsole die Option Directories (Verzeichnisse) und dann Set up directory (Verzeichnis einrichten) aus.

  2. Wählen Sie AWS Managed Microsoft AD. Dies ist zurzeit die einzige für Amazon RDS unterstützte Option.

  3. Wählen Sie Weiter aus.

  4. Geben Sie auf der Seite Enter directory information (Verzeichnisinformationen eingeben) die folgenden Informationen ein:

    Edition

    Wählen Sie die Edition aus, die Ihre Anforderungen erfüllt.

    DNS-Name des Verzeichnisses

    Den vollständig qualifizierten Namen für das Verzeichnis, z. B. corp.example.com. Namen, die länger als 47 Zeichen sind, werden von SQL Server nicht unterstützt.

    NetBIOS-Name des Verzeichnisses

    Ein optionaler Kurzname für das Verzeichnis, z. B. CORP.

    Verzeichnisbeschreibung

    Eine optionale Beschreibung des Verzeichnisses.

    Administratorpasswort

    Das Passwort für den Verzeichnisadministrator. Während des Verzeichniserstellungsprozesses wird ein Administratorkonto mit dem Benutzernamen Admin und diesem Passwort angelegt.

    Das Passwort für den Verzeichnisadministrator darf nicht das Wort „“ enthalte admin. Beachten Sie beim Passwort die Groß- und Kleinschreibung und es muss 8 bis 64 Zeichen lang sein. Zudem muss es mindestens ein Zeichen aus dreien der vier folgenden Kategorien enthalten:

    • Kleinbuchstaben (a – z)

    • Großbuchstaben (A – Z)

    • Zahlen (0 – 9)

    • Nicht-alphanumerische Zeichen (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)

    Passwort bestätigen

    Geben Sie das Administratorpasswort erneut ein.

  5. Wählen Sie Weiter aus.

  6. Geben Sie auf der Seite Choose VPC and subnets (VPC und Subnetze wählen) die folgenden Informationen an.

    VPC

    Wählen Sie die VPC für das Verzeichnis aus.

    Anmerkung

    Sie können das Verzeichnis und die DB-Instance an unterschiedlichen Orten lokalisieren. Wenn Sie dies tun VPCs, stellen Sie jedoch sicher, dass Sie den VPC-übergreifenden Verkehr aktivieren. Weitere Informationen finden Sie unter Schritt 4: Aktivieren des VPC-übergreifenden Datenverkehrs zwischen dem Verzeichnis und der DB-Instance.

    Subnetze

    Wählen Sie Subnetze für die Verzeichnis-Server aus. Die beiden Subnetze müssen zu verschiedenen Availability-Zonen gehören.

  7. Wählen Sie Weiter aus.

  8. Überprüfen Sie die Verzeichnisinformationen. Falls Sie noch Änderungen vornehmen möchten, klicken Sie auf Previous (Zurück). Wenn die Informationen richtig sind, wählen Sie Create directory (Verzeichnis erstellen).

    Seite Überprüfen und Erstellen

Es dauert einige Minuten, bis das Verzeichnis erstellt wurde. Wenn es erfolgreich erstellt wurde, ändert sich der Wert Status in Active (Aktiv).

Um Informationen über das Verzeichnis anzuzeigen, wählen Sie die Verzeichnis-ID in der Verzeichnisauflistung aus. Notieren Sie sich den Wert Directory ID (Verzeichnis-ID). Sie benötigen diesen Wert, wenn Sie die SQL Server-DB-Instance erstellen oder modifizieren.

Seite „Directory details (Verzeichnisdetails)“

Schritt 2: Erstellen der IAM-Rolle für die Verwendung durch Amazon RDS

Wenn Sie die Konsole zum Erstellen der SQL Server-DB-Instance verwenden, können Sie diesen Schritt überspringen. Wenn Sie zum Erstellen der SQL Server-DB-Instance die CLI oder RDS-API verwenden, müssen Sie eine IAM-Rolle erstellen, die die verwaltete IAM-Richtlinie AmazonRDSDirectoryServiceAccess verwendet. Diese Rolle ermöglicht es Amazon RDS, AWS Directory Service für Sie Anrufe an die zu tätigen.

Wenn Sie eine benutzerdefinierte Richtlinie für den Beitritt zu einer Domain verwenden, anstatt die AWS-verwaltete AmazonRDSDirectoryServiceAccess Richtlinie zu verwenden, stellen Sie sicher, dass Sie die ds:GetAuthorizedApplicationDetails Aktion zulassen. Diese Anforderung gilt aufgrund einer Änderung der AWS Directory Service API ab Juli 2019.

Die folgende IAM-Richtlinie (AmazonRDSDirectoryServiceAccess) ermöglicht den Zugriff auf AWS Directory Service.

Beispiel IAM-Richtlinie für die Bereitstellung des Zugriffs auf AWS Directory Service
JSON
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
            "ds:DescribeDirectories", 
            "ds:AuthorizeApplication", 
            "ds:UnauthorizeApplication",
            "ds:GetAuthorizedApplicationDetails"
        ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Wir empfehlen die Verwendung der globalen Bedingungskontextschlüssel aws:SourceArn und aws:SourceAccount in ressourcenbasierten Vertrauensbeziehungen, um die Berechtigungen des Services auf eine bestimmte Ressource zu beschränken. Dies ist der effektivste Weg, um sich vor dem verwirrtes Stellvertreterproblem zu schützen.

Sie können beide globalen Bedingungskontextschlüssel verwenden und der Wert aws:SourceArn enthält die Konto-ID. Stellen Sie in diesen Fällen sicher, dass der Wert aws:SourceAccount und das Konto im Wert aws:SourceArn dieselbe Konto-ID verwenden, wenn sie in derselben Anweisung verwendet werden.

  • Verwenden von aws:SourceArn wenn Sie einen serviceübergreifenden Zugriff für eine einzelne Ressource wünschen.

  • Verwenden von aws:SourceAccount wenn Sie zulassen möchten, dass eine Ressource in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft wird.

Stellen Sie in der Vertrauensbeziehung sicher, dass Sie den globalen Bedingungskontextschlüssel aws:SourceArn mit dem vollständigen Amazon-Ressourcennamen (ARN) der Ressourcen verwenden, die auf die Rolle zugreifen. Stellen Sie für die Windows-Authentifizierung sicher, dass Sie die DB-Instances einschließen, wie im folgenden Beispiel gezeigt.

Beispiel Vertrauensbeziehung mit dem globalen Bedingungskontextschlüssel für die Windows-Authentifizierung
JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "rds.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceArn": [
                        "arn:aws:rds:Region:my_account_ID:db:db_instance_identifier"
                    ]
                }
            }
        }
    ]
}

Erstellen Sie eine IAM-Rolle mit dieser IAM-Richtlinie und Vertrauensbeziehung. Weitere Informationen zum Erstellen von IAM-Rollen finden Sie unter Erstellen von kundenverwalteten Richtlinien im IAM-Benutzerhandbuch.

Schritt 3: Erstellen und Konfigurieren von Benutzern und Gruppen

Sie können Benutzer und Gruppen mit dem Tool "Active Directory-Benutzer und -Computer" erstellen. Dieses Tool ist eines der "Active Directory Domain Services"- und "Active Directory Lightweight Directory Services"-Tools. „Benutzer“ sind Einzelpersonen oder Entitäten, die Zugriff auf Ihr Verzeichnis haben. Gruppen sind sehr nützlich, um Berechtigungen zu erteilen oder zu verweigern, anstatt diese Berechtigungen für jeden einzelnen Benutzer erstellen zu müssen.

Um Benutzer und Gruppen in einem AWS Directory Service Verzeichnis zu erstellen, müssen Sie mit einer EC2 Windows-Instanz verbunden sein, die Mitglied des AWS Directory Service Verzeichnisses ist. Außerdem müssen Sie als Benutzer angemeldet sein, der über Rechte zum Erstellen von Benutzern und Gruppen verfügt. Weitere Informationen finden Sie unter Hinzufügen von Benutzern und Gruppen (Simple AD und AWS Managed Microsoft AD) im AWS Directory Service Administratorhandbuch.

Schritt 4: Aktivieren des VPC-übergreifenden Datenverkehrs zwischen dem Verzeichnis und der DB-Instance

Wenn Sie beabsichtigen, das Verzeichnis und die DB-Instance in derselben VPC zu platzieren, überspringen Sie diesen Schritt und fahren Sie mit for Schritt 5: Erstellen oder Modifizieren einer SQL Server-DB-Instance.

Wenn Sie planen, das Verzeichnis und die DB-Instance unterschiedlich zu lokalisieren VPCs, konfigurieren Sie den VPC-übergreifenden Verkehr mithilfe von VPC-Peering oder Transit Gateway.AWS

Das folgende Verfahren ermöglicht den Datenverkehr zwischen VPCs mithilfe von VPC-Peering. Folgen Sie den Anweisungen unter Was ist VPC Peering? im Handbuch zu Amazon Virtual Private Cloud-Peering.

Aktivieren des VPC-übergreifenden Datenverkehrs mit VPC Peering

  1. Richten Sie geeignete VPC-Routing-Regeln ein, um sicherzustellen, dass Netzwerk-Datenverkehr in beide Richtungen fließen kann.

  2. Stellen Sie sicher, dass die Sicherheitsgruppe der DB-Instance eingehenden Datenverkehr von der Sicherheitsgruppe des Verzeichnisses empfangen kann.

  3. Stellen Sie sicher, dass keine ACL-Regel (Network Access Control List) zum Blockieren des Datenverkehrs vorhanden ist.

Wenn ein anderes AWS Konto Eigentümer des Verzeichnisses ist, müssen Sie das Verzeichnis gemeinsam nutzen.

Um das Verzeichnis von mehreren AWS Konten gemeinsam zu nutzen

  1. Beginnen Sie mit der gemeinsamen Nutzung des Verzeichnisses mit dem AWS Konto, unter dem die DB-Instance erstellt werden soll. Folgen Sie dazu den Anweisungen im AWS Directory Service Administratorhandbuch im Tutorial: AWS Managed Microsoft AD Verzeichnis teilen für einen nahtlosen EC2 Domänenbeitritt.

  2. Melden Sie sich mit dem Konto für die DB-Instance bei der AWS Directory Service Konsole an und stellen Sie sicher, dass die Domain den SHARED Status hat, bevor Sie fortfahren.

  3. Notieren Sie sich den Wert der Verzeichnis-ID, während Sie mit dem Konto für die DB-Instance bei der AWS Directory Service Konsole angemeldet sind. Sie verwenden diese Verzeichnis-ID, um die DB-Instance mit der Domäne zu verbinden.

Schritt 5: Erstellen oder Modifizieren einer SQL Server-DB-Instance

Erstellen oder ändern Sie eine SQL Server-DB-Instance für die Verwendung mit Ihrem Verzeichnis. Sie können die Konsole, CLI oder RDS-API verwenden, um eine DB-Instance einem Verzeichnis zuzuordnen. Sie können dafür eine der folgenden Möglichkeiten auswählen:

Die Windows-Authentifizierung wird nur für SQL Server-DB-Instances in einer VPC unterstützt.

Damit die DB-Instance das von Ihnen erstellte Domänenverzeichnis verwenden kann, ist Folgendes erforderlich:

  • Für Directory (Verzeichnis) müssen Sie den Domänenbezeichner (d-ID) auswählen, der beim Erstellen des Verzeichnisses generiert wurde.

  • Stellen Sie sicher, dass die VPC-Sicherheitsgruppe über eine ausgehende Regel verfügt, mit der die DB-Instance mit dem Verzeichnis kommunizieren kann.

Microsoft SQL Server-Windows-Authentifizierungsverzeichnis

Wenn Sie den verwenden AWS CLI, sind die folgenden Parameter erforderlich, damit die DB-Instance das von Ihnen erstellte Verzeichnis verwenden kann:

  • Für den --domain-Parameter verwenden Sie den Domänenbezeichner (d-ID), der beim Erstellen des Verzeichnisses generiert wurde.

  • Verwenden Sie für den --domain-iam-role-name-Parameter die von Ihnen erstellte Rolle, die die verwaltete IAM-Richtlinie AmazonRDSDirectoryServiceAccess verwendet.

Beispielsweise ändert der folgende CLI-Befehl eine DB-Instance zur Verwendung eines Verzeichnisses.

Für LinuxmacOS, oderUnix:

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --domain d-ID \
    --domain-iam-role-name role-name

Windows:

aws rds modify-db-instance ^
    --db-instance-identifier mydbinstance ^
    --domain d-ID ^
    --domain-iam-role-name role-name
Wichtig

Wenn Sie eine DB-Instance zur Aktivierung der Kerberos-Authentifizierung ändern, starten Sie die DB-Instance neu, nachdem Sie die Änderung vorgenommen haben.

Schritt 6: Erstellen von SQL Server-Anmeldungen für die Windows-Authentifizierung

Verwenden Sie die Anmeldeinformationen für den Amazon RDS-Hauptbenutzer, um eine Verbindung zur SQL Server-DB-Instance herzustellen, wie Sie es bei jeder anderen DB-Instance tun würden. Da die DB-Instance mit der AWS Managed Microsoft AD Domäne verbunden ist, können Sie SQL Server-Logins und -Benutzer bereitstellen. Sie tun dies über die Active Directory-Benutzer und -Gruppen in Ihrer Domäne. Datenbankberechtigungen werden über die Standard-SQL-Server-Berechtigungen verwaltet, die für die Windows-Anmeldungen gewährt und widerrufen werden.

Damit ein Active Directory-Benutzer sich mit SQL Server authentifizieren kann, muss eine SQL Server-Windows-Anmeldung für den Benutzer oder für eine Gruppe, der der Benutzer angehört, vorliegen. Eine differenzierte Zugriffskontrolle wird durch das Gewähren und Widerrufen von Berechtigungen für diese SQL Server-Anmeldungen gewährleistet. Ein Benutzer, der keine SQL Server-Anmeldung hat oder zu keiner Gruppe mit einer solchen Anmeldung gehört, kann nicht auf die SQL Server-DB-Instance zugreifen.

Die Berechtigung ALTER ANY LOGIN ist erforderlich, um eine SQL Server-Anmeldung für das Active-Directory zu erstellen. Wenn Sie mit dieser Berechtigung noch keine Anmeldungen erstellt haben, verbinden Sie sich mithilfe der SQL Server-Authentifizierung als Masterbenutzer der DB-Instance.

Führen Sie den folgenden Data Definition Language (DDL)-Befehl aus, um eine SQL Server-Anmeldung für einen Active-Directory-Benutzer oder eine entsprechende Gruppe zu erstellen.

Anmerkung

Geben Sie Benutzer und Gruppen unter Verwendung des Anmeldenamens von Windows 2000 im Format a domainName\login_name. Sie können keinen User Principle Name (UPN) im Format verwenden login_name@DomainName.

Sie können eine Windows-Authentifizierungsanmeldung auf einer RDS für SQL Server-Instanz nur mithilfe von T-SQL-Anweisungen erstellen. Sie können das SQL Server Management Studio nicht verwenden, um eine Windows-Authentifizierungs-Anmeldung zu erstellen.

USE [master]
GO
CREATE LOGIN [mydomain\myuser] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO

Weitere Informationen finden Sie unter ANMELDENAME ERSTELLEN (Transact-SQL) in der Microsoft Developer Network-Dokumentation.

Benutzer (sowohl menschliche Benutzer als auch Anwendungen) von Ihrer Domäne können sich nun von einem über eine Domäne verbundenen Client-Computer mithilfe der Windows-Authentifizierung an der RDS-for-SQL-Server-Instance anmelden.