Arbeiten mit AWS Managed Active Directory mit RDS für SQL Server - Amazon Relational Database Service
Verfügbarkeit von Regionen und VersionenÜbersicht zur Einrichtung einer Windows-AuthentifizierungWiederherstellen einer DB-Instance und Hinzufügen zu einer Domäne

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arbeiten mit AWS Managed Active Directory mit RDS für SQL Server

Sie können AWS Managed Microsoft AD zur Authentifizierung von Benutzern mit der Windows-Authentifizierung verwenden, wenn sich diese mit Ihrer RDS-für-SQL-Server-DB-Instance verbinden. Die DB-Instance arbeitet mit AWS Directory Service for Microsoft Active Directory, auch als AWS Managed Microsoft AD bezeichnet, um die Windows-Authentifizierung zu aktivieren. Wenn Benutzer sich mit einer SQL Server-DB-Instance authentifizieren, die mit einer vertrauenswürdigen Domäne verbunden ist, werden die Authentifizierungsanfragen an das Domänenverzeichnis weitergeleitet, das Sie mit erstellt habe Directory Service.

Verfügbarkeit von Regionen und Versionen

Amazon RDS unterstützt die Verwendung nur von AWS Managed Microsoft AD für die Windows-Authentifizierung. RDS unterstützt die Verwendung nicht AD Connector. Weitere Informationen finden Sie hier:

Informationen zur Versions- und Regionsverfügbarkeit finden Sie unter Kerberos-Authentifizierung mit RDS für SQL Server.

Übersicht zur Einrichtung einer Windows-Authentifizierung

Amazon RDS verwendet einen gemischten Modus für die Windows-Authentifizierung. Mit dieser Vorgehensweise verwendet der Hauptbenutzer (zum Erstellen der SQL Server-DB-Instance verwendeter Name und verwendetes Passwort ) die SQL-Authentifizierung. Da das Masterbenutzerkonto Anmeldedaten mit besonderen Berechtigungen enthält, sollte der Zugriff auf dieses Konto beschränkt sein.

Um mithilfe eines lokalen oder selbst gehosteten Microsoft Active Directory Windows-Authentifizierung abzurufen, erstellen Sie eine Gesamtstruktur-Vertrauensstellung. Die Vertrauensstellung kann uni- oder bidirektional sein. Weitere Informationen zum Einrichten von gesamtstrukturbasierten Vertrauensstellungen mithilfe von Directory Service finden Sie unter Zeitpunkt zum Erstellen einer Vertrauensstellung im AWS Directory Service Administration Guide.

Führen Sie die folgenden Schritte aus, um eine Windows-Authentifizierung für eine SQL Server-DB-Instance einzurichten. Diese Schritt werden unter noch genauer erklär Einrichten einer Windows-Authentifizierung für SQL Server-DB-Instances:

  1. Verwenden Sie AWS Managed Microsoft AD, entweder über die AWS-Managementkonsole oder Directory Service-API, um ein AWS Managed Microsoft AD-Verzeichnis zu erstellen.

  2. Wenn Sie die AWS CLI oder Amazon-RDS-API verwenden, um Ihre SQL Server-DB-Instance zu erstellen, erstellen Sie eine AWS Identity and Access Management (IAM)-Rolle. Diese Rolle verwendet die verwaltete IAM-Richtlinie AmazonRDSDirectoryServiceAccess und ermöglicht es Amazon RDS, Aufrufe an Ihr Verzeichnis durchzuführen. Wenn Sie die Konsole zum Erstellen der SQL Server-DB-Instance verwenden, erstellt AWS die IAM-Rolle für Sie.

    Um mit der Rolle Zugriff zu gewähren, muss der AWS Security Token Service (AWS STS)-Endpunkt in der AWS-Region für Ihr AWS-Konto aktiviert sein. AWS STS-Endpunkte sind standardmäßig in allen AWS-Regionen aktiv und Sie können sie ohne weitere Maßnahmen nutzen. Weitere Informationen finden Sie unter Verwalten von AWS STS in einer AWS-Region im IAM-Benutzerhandbuch.

  3. Erstellen und konfigurieren Sie Benutzer und Gruppen im Verzeichnis AWS Managed Microsoft AD mithilfe der Tools aus dem Microsoft Active Directory. Weitere Informationen zum Erstellen von Benutzern und Gruppen in Ihrem Active Directory finden Sie unter Verwalten von Benutzern und Gruppen in AWS Managed Microsoft AD im AWS Directory Service Administrationshanbuch.

  4. Wenn Sie das Verzeichnis und die DB-Instance in verschiedenen VPCs platzieren möchten, aktivieren Sie den VPC-übergreifenden Datenverkehr.

  5. Verwenden Sie Amazon RDS zum Erstellen einer neuen SQL Server-DB-Instance über die Konsole, AWS CLI oder die Amazon-RDS-API. In der Anforderung zum Erstellen geben Sie den Domänenbezeichner an ("d-*"-Bezeichner), der beim Erstellen des Verzeichnisses generiert wurde, sowie den Namen der von Ihnen erstellten Rolle. Sie können auch eine vorhandene SQL Server-DB-Instance für die Verwendung der Windows-Authentifizierung ändern, indem Sie die Domänen- und IAM-Rollenparameter für die DB-Instance festlegen.

  6. Verwenden Sie die Anmeldeinformationen für den Amazon-RDS-Hauptbenutzer, um eine Verbindung zur SQL Server-DB-Instance herzustellen, wie Sie es bei jeder anderen DB-Instance tun würden. Da die DB-Instance mit der AWS Managed Microsoft AD-Domäne verbunden ist, können Sie SQL Server-Anmeldungen und -Benutzer von den Active Directory-Benutzern und -Gruppen in deren Domäne bereitstellen. (Diese werden als SQL Server "Windows"-Anmeldungen bezeichnet.) Datenbankberechtigungen werden über die Standard-SQL-Server-Berechtigungen verwaltet, die für die Windows-Anmeldungen gewährt und widerrufen werden.

Wenn Sie mithilfe der Amazon-RDS-Konsole eine mit einer Domain verknüpfte DB-Instance von RDS für SQL Server erstellen, erstellt AWS automatisch die IAM-Rolle rds-directoryservice-access-role. Diese Rolle ist für die Verwaltung von mit Domains verknüpften Instances unerlässlich und für die folgenden Operationen erforderlich:

  • Vornehmen von Konfigurationsänderungen an mit einer Domain verknüpften SQL-Server-Instances

  • Verwalten der Active-Directory-Integrationseinstellungen

  • Durchführen von Wartungsvorgängen auf mit Domains verknüpften Instances

Wichtig

Wenn Sie die IAM-Rolle rds-directoryservice-access-role löschen, können Sie über die Amazon-RDS-Konsole oder -API keine Änderungen mehr an Ihrer mit der Domain verknüpften SQL-Server-Instance vornehmen. Der Versuch, die Instance zu ändern, führt zu folgender Fehlermeldung: You don't have permission to iam:CreateRole. To request access, copy the following text and send it to your AWS administrator.

Dieser Fehler tritt auf, weil Amazon RDS die Rolle zur Verwaltung der Domain-Verbindung neu erstellen muss, aber nicht über die erforderlichen Berechtigungen verfügt. Darüber hinaus wird dieser Fehler nicht in CloudTrail protokolliert, was die Fehlerbehebung erschweren kann.

Wenn Sie die rds-directoryservice-access-role versehentlich löschen, müssen Sie über die Berechtigung iam:CreateRole verfügen, um sie neu zu erstellen, bevor Sie Änderungen an Ihrer mit der Domain verknüpften SQL-Server-Instance vornehmen können. Um die Rolle manuell neu zu erstellen, vergewissern Sie sich, dass ihr die verwaltete Richtlinie AmazonRDSDirectoryServiceAccess und die entsprechende Vertrauensstellung zugeordnet sind, damit der RDS-Service die Rolle übernehmen kann.

Wiederherstellen einer SQL Server DB-Instance und Hinzufügen zu einer Domäne

Sie können einen DB-Snapshot wiederherstellen oder eine zeitpunktbezogene Wiederherstellung (PITR) für eine SQL Server-DB-Instance vornehmen und diese dann einer Domäne hinzufügen. Wenn die DB-Instance wiederhergestellt wurde, modifizieren Sie die Instance, indem Sie den unter Schritt 5: Erstellen oder Modifizieren einer SQL Server-DB-Instance beschriebenen Prozess anwenden, um die DB-Instance einer Domäne hinzuzufügen.