Arbeiten mit AWS Managed Active Directory mit RDS für SQL Server - Amazon Relational Database Service
Verfügbarkeit von Regionen und VersionenÜbersicht zur Einrichtung einer Windows-AuthentifizierungWiederherstellen einer DB-Instance und Hinzufügen zu einer Domäne

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arbeiten mit AWS Managed Active Directory mit RDS für SQL Server

Sie können AWS Managed Microsoft AD es verwenden, um Benutzer mit der Windows-Authentifizierung zu authentifizieren, wenn sie eine Verbindung zu Ihrer RDS for SQL Server-DB-Instance herstellen. Die DB-Instance funktioniert mit AWS Directory Service for Microsoft Active Directory, wird auch genannt AWS Managed Microsoft AD, um die Windows-Authentifizierung zu aktivieren. Wenn Benutzer sich mit einer SQL Server-DB-Instance authentifizieren, die mit einer vertrauenswürdigen Domäne verbunden ist, werden die Authentifizierungsanfragen an das Domänenverzeichnis weitergeleitet, das Sie mit erstellt habe AWS Directory Service.

Verfügbarkeit von Regionen und Versionen

Amazon RDS unterstützt nur die Verwendung AWS Managed Microsoft AD für die Windows-Authentifizierung. RDS unterstützt die Verwendung nicht AD Connector. Weitere Informationen finden Sie unter:

Informationen zur Versions- und Regionsverfügbarkeit finden Sie unter Kerberos-Authentifizierung mit RDS für SQL Server.

Übersicht zur Einrichtung einer Windows-Authentifizierung

Amazon RDS verwendet einen gemischten Modus für die Windows-Authentifizierung. Mit dieser Vorgehensweise verwendet der Hauptbenutzer (zum Erstellen der SQL Server-DB-Instance verwendeter Name und verwendetes Passwort ) die SQL-Authentifizierung. Da das Masterbenutzerkonto Anmeldedaten mit besonderen Berechtigungen enthält, sollte der Zugriff auf dieses Konto beschränkt sein.

Um mithilfe eines lokalen oder selbst gehosteten Microsoft Active Directory Windows-Authentifizierung abzurufen, erstellen Sie eine Gesamtstruktur-Vertrauensstellung. Die Vertrauensstellung kann uni- oder bidirektional sein. Weitere Informationen zum Einrichten von Forest Trusts mithilfe von AWS Directory Service finden Sie unter Wann sollte eine Vertrauensstellung erstellt werden? im AWS Directory Service Administratorhandbuch.

Führen Sie die folgenden Schritte aus, um eine Windows-Authentifizierung für eine SQL Server-DB-Instance einzurichten. Diese Schritt werden unter noch genauer erklär Einrichten einer Windows-Authentifizierung für SQL Server-DB-Instances:

  1. Verwenden Sie AWS Managed Microsoft AD entweder über die AWS Management Console oder die AWS Directory Service API, um ein AWS Managed Microsoft AD Verzeichnis zu erstellen.

  2. Wenn Sie die AWS CLI oder Amazon RDS-API verwenden, um Ihre SQL Server-DB-Instance zu erstellen, erstellen Sie eine AWS Identity and Access Management (IAM-) Rolle. Diese Rolle verwendet die verwaltete IAM-Richtlinie AmazonRDSDirectoryServiceAccess und ermöglicht es Amazon RDS, Aufrufe an Ihr Verzeichnis durchzuführen. Wenn Sie die Konsole zum Erstellen der SQL Server-DB-Instance verwenden, erstellt AWS die IAM-Rolle für Sie.

    Damit die Rolle Zugriff gewährt, muss der Endpunkt AWS Security Token Service (AWS STS) in der AWS Region für Ihr AWS Konto aktiviert sein. AWS STS Endpunkte sind standardmäßig in allen AWS Regionen aktiv, und Sie können sie ohne weitere Aktionen verwenden. Weitere Informationen finden Sie unter Verwalten von AWS STS in einer AWS-Region im IAM-Benutzerhandbuch.

  3. Erstellen und konfigurieren Sie Benutzer und Gruppen im AWS Managed Microsoft AD Verzeichnis mithilfe der Microsoft Active Directory-Tools. Weitere Informationen zum Erstellen von Benutzern und Gruppen in Ihrem Active Directory finden Sie unter Verwalten von Benutzern und Gruppen in AWS Managed Microsoft AD im AWS Directory Service Administrationshanbuch.

  4. Wenn Sie planen, das Verzeichnis und die DB-Instance an unterschiedlichen Orten zu lokalisieren VPCs, aktivieren Sie den vPC-übergreifenden Verkehr.

  5. Verwenden Sie Amazon RDS, um eine neue SQL Server-DB-Instance entweder über die Konsole oder über die Amazon RDS-API zu erstellen. AWS CLI In der Anforderung zum Erstellen geben Sie den Domänenbezeichner an ("d-*"-Bezeichner), der beim Erstellen des Verzeichnisses generiert wurde, sowie den Namen der von Ihnen erstellten Rolle. Sie können auch eine vorhandene SQL Server-DB-Instance für die Verwendung der Windows-Authentifizierung ändern, indem Sie die Domänen- und IAM-Rollenparameter für die DB-Instance festlegen.

  6. Verwenden Sie die Anmeldeinformationen für den Amazon RDS-Hauptbenutzer, um eine Verbindung zur SQL Server-DB-Instance herzustellen, wie Sie es bei jeder anderen DB-Instance tun würden. Da die DB-Instance mit der AWS Managed Microsoft AD Domäne verbunden ist, können Sie SQL Server-Logins und Benutzer aus den Active Directory-Benutzern und -Gruppen in ihrer Domäne bereitstellen. (Diese werden als SQL Server "Windows"-Anmeldungen bezeichnet.) Datenbankberechtigungen werden über die Standard-SQL-Server-Berechtigungen verwaltet, die für die Windows-Anmeldungen gewährt und widerrufen werden.

Wenn Sie mithilfe der Amazon RDS-Konsole eine mit einer Domäne verbundene RDS for SQL Server-DB-Instance erstellen, AWS wird automatisch die rds-directoryservice-access-role IAM-Rolle erstellt. Diese Rolle ist für die Verwaltung domänenverbundener Instances unerlässlich und für die folgenden Vorgänge erforderlich:

  • Vornehmen von Konfigurationsänderungen an mit einer Domäne verbundenen SQL Server-Instanzen

  • Verwaltung der Active Directory-Integrationseinstellungen

  • Durchführung von Wartungsvorgängen an domänengebundenen Instanzen

Wichtig

Wenn Sie die rds-directoryservice-access-role IAM-Rolle löschen, können Sie über die Amazon RDS-Konsole oder API keine Änderungen an Ihrer mit der Domäne verbundenen SQL Server-Instance vornehmen. Der Versuch, die Instance zu ändern, führt zu einer Fehlermeldung, die besagt: Sie haben keine Berechtigung für iam:. CreateRole Um Zugriff anzufordern, kopieren Sie den folgenden Text und senden Sie ihn an Ihren AWS Administrator.

Dieser Fehler tritt auf, weil Amazon RDS die Rolle zur Verwaltung der Domänenverbindung neu erstellen muss, aber nicht über die erforderlichen Berechtigungen verfügt. Darüber hinaus ist dieser Fehler nicht angemeldet CloudTrail, was die Fehlerbehebung erschweren kann.

Wenn Sie den versehentlich löschenrds-directoryservice-access-role, müssen Sie über die iam:CreateRole erforderlichen Berechtigungen verfügen, um ihn erneut zu erstellen, bevor Sie Änderungen an Ihrer mit der Domäne verbundenen SQL Server-Instanz vornehmen können. Um die Rolle manuell neu zu erstellen, stellen Sie sicher, dass ihr die AmazonRDSDirectoryServiceAccess verwaltete Richtlinie und die entsprechende Vertrauensstellung zugeordnet sind, die es dem RDS-Dienst ermöglicht, die Rolle zu übernehmen.

Wiederherstellen einer SQL Server DB-Instance und Hinzufügen zu einer Domäne

Sie können einen DB-Snapshot wiederherstellen oder eine point-in-time Wiederherstellung (PITR) für eine SQL Server-DB-Instance durchführen und sie dann einer Domäne hinzufügen. Wenn die DB-Instance wiederhergestellt wurde, modifizieren Sie die Instance, indem Sie den unter Schritt 5: Erstellen oder Modifizieren einer SQL Server-DB-Instance beschriebenen Prozess anwenden, um die DB-Instance einer Domäne hinzuzufügen.