Einrichten eines selbstverwalteten Active Directory - Amazon Relational Database Service
Schritt 1: Erstellen einer Organisationseinheit in Ihrem ADSchritt 2: Erstellen eines AD-Domain-Servicekontos in Ihrem AD.Schritt 3: Delegieren der Kontrolle an das AD-Domain-ServicekontoSchritt 4: Erstellen Sie einen AWS KMS Schlüssel.Schritt 5: Erstellen Sie ein AWS Geheimnis.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten eines selbstverwalteten Active Directory

Gehen Sie wie folgt vor, um ein selbstverwaltetes AD einzurichten.

Schritt 1: Erstellen einer Organisationseinheit in Ihrem AD

Wichtig

Wir empfehlen, für jedes AWS Konto, das eine RDS for SQL Server-DB-Instance besitzt, die Ihrer selbstverwalteten AD-Domäne beigetreten ist, eine dedizierte Organisationseinheit und Dienstanmeldedaten zu erstellen, die auf diese Organisationseinheit beschränkt sind. Durch die Zuordnung einer Organisationseinheit und von Service-Anmeldeinformationen können Sie widersprüchliche Berechtigungen vermeiden und dem Prinzip der geringsten Berechtigung folgen.

So erstellen Sie eine Organisationseinheit in Ihrem AD

  1. Stellen Sie als Domain-Administrator eine Verbindung zu Ihrer AD-Domain her.

  2. Öffnen Sie Active Directory-Benutzer und -Computer und wählen Sie die Domain aus, in der Sie Ihre Organisationseinheit erstellen möchten.

  3. Klicken Sie mit der rechten Maustaste auf die Domain und wählen Sie Neu und dann Organisationseinheit aus.

  4. Geben Sie einen Namen für die Organisationseinheit ein.

  5. Lassen Sie das Kontrollkästchen für Container vor versehentlichem Löschen schützen aktiviert.

  6. Klicken Sie auf OK. Ihre neue Organisationseinheit wird unter Ihrer Domain angezeigt.

Schritt 2: Erstellen eines AD-Domain-Servicekontos in Ihrem AD

Die Anmeldeinformationen des Domänendienstkontos werden für das Geheimnis in AWS Secrets Manager verwendet.

So erstellen Sie ein AD-Domain-Servicekonto in Ihrem AD

  1. Öffnen Sie Active-Directory-Benutzer und -Computer und wählen Sie die Domain und die Organisationseinheit aus, in der Sie Ihren Benutzer erstellen möchten.

  2. Klicken Sie mit der rechten Maustaste auf das Objekt Benutzer und wählen Sie Neu und dann Benutzer aus.

  3. Geben Sie einen Vornamen, Nachnamen und Anmeldenamen für den Benutzer ein. Klicken Sie auf Weiter.

  4. Geben Sie ein Passwort für den Benutzer ein. Wählen Sie nicht Benutzer muss das Passwort bei der nächsten Anmeldung ändern aus. Wählen Sie nicht Konto ist deaktiviert aus. Klicken Sie auf Weiter.

  5. Klicken Sie auf OK. Ihr neuer Benutzer wird unter Ihrer Domain angezeigt.

Schritt 3: Delegieren der Kontrolle an das AD-Domain-Servicekonto

So delegieren Sie die Kontrolle an das AD-Domain-Servicekonto in Ihrer Domain

  1. Öffnen Sie das MMC-Snap-In Active-Directory-Benutzer und -Computer und wählen Sie die Domain aus, in der Sie Ihren Benutzer erstellen möchten.

  2. Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, die Sie zuvor erstellt haben, und wählen Sie Kontrolle delegieren aus.

  3. Klicken Sie im Assistenten für die Delegation der Kontrolle auf Weiter.

  4. Klicken Sie im Abschnitt Benutzer oder Gruppen auf Hinzufügen.

  5. Geben Sie im Abschnitt Benutzer, Computer oder Gruppen auswählen das von Ihnen erstellte AD-Domain-Servicekonto ein und klicken Sie auf Namen überprüfen. Wenn Ihre AD-Domain-Servicekontoprüfung erfolgreich ist, klicken Sie auf OK.

  6. Bestätigen Sie im Abschnitt Benutzer oder Gruppen, dass Ihr AD-Domain-Servicekonto hinzugefügt wurde, und klicken Sie auf Weiter.

  7. Wählen Sie im Abschnitt Zu delegierende Aufgaben die Option Eine zu delegierende benutzerdefinierte Aufgabe erstellen aus und klicken Sie auf Weiter.

  8. Gehen Sie im Abschnitt Active-Directory-Objekttyp wie folgt vor:

    1. Wählen Sie Nur die folgenden Objekte in dem Ordner aus.

    2. Wählen Sie Computerobjekte aus.

    3. Wählen Sie Ausgewählte Objekte in diesem Ordner erstellen aus.

    4. Wählen Sie Ausgewählte Objekte in diesem Ordner löschen aus und klicken Sie auf Weiter.

  9. Gehen Sie im Abschnitt Berechtigungen wie folgt vor:

    1. Behalten Sie die Auswahl von Allgemein bei.

    2. Wählen Sie Überprüfter Schreibvorgang in den DNS-Hostnamen aus.

    3. Wählen Sie Überprüfter Schreibvorgang in den Service-Prinzipalnamen aus und klicken Sie auf Weiter.

    4. Um die Kerberos-Authentifizierung zu aktivieren, lassen Sie die Option Eigenschaftsspezifisch aktiviert und wählen Sie in der Liste die Option Schreiben servicePrincipalName aus.

  10. Überprüfen und bestätigen Sie Ihre Einstellungen unter Den Assistenten für die Delegation der Kontrolle abschließen und klicken Sie auf Fertig stellen.

  11. Öffnen Sie für die Kerberos-Authentifizierung den DNS-Manager und dann die Servereigenschaften.

    1. Geben Sie im Windows-Dialogfeld dnsmgmt.msc ein.

    2. Fügen Sie das AD-Domain-Servicekonto auf der Registerkarte Sicherheit hinzu.

    3. Wählen Sie die Berechtigung Lesen aus und übernehmen Sie Ihre Änderungen.

Schritt 4: Erstellen Sie einen Schlüssel AWS KMS

Der KMS-Schlüssel wird verwendet, um Ihr AWS Geheimnis zu verschlüsseln.

Um einen Schlüssel zu erstellen AWS KMS
Anmerkung

Verwenden Sie für den Verschlüsselungsschlüssel nicht den AWS Standard-KMS-Schlüssel. Stellen Sie sicher, dass Sie den AWS KMS Schlüssel in demselben AWS Konto erstellen, das die RDS for SQL Server-DB-Instance enthält, die Sie Ihrem selbstverwalteten AD hinzufügen möchten.

  1. Wählen Sie in der AWS KMS Konsole Create Key aus.

  2. Wählen Sie für Schlüsseltyp Symmetrisch aus.

  3. Wählen Sie für Schlüsselnutzung die Option Verschlüsseln und Entschlüsseln aus.

  4. Für Advanced options (Erweiterte Optionen):

    1. Wählen Sie unter Schlüsselmaterialursprung KMS aus.

    2. Wählen Sie für Regionalität Single-Region-Schlüssel aus und klicken Sie auf Weiter.

  5. Geben Sie für Alias einen Namen für den KMS-Schlüssel an.

  6. (Optional) Geben Sie unter Beschreibung eine Beschreibung des KMS-Schlüssels an.

  7. (Optional) Geben Sie für Tags ein Tag für den KMS-Schlüssel an und klicken Sie auf Weiter.

  8. Geben Sie für Schlüsseladministratoren den Namen eines IAM-Benutzers an und wählen Sie ihn aus.

  9. Lassen Sie für Schlüssellöschung das Kontrollkästchen für Ermöglicht Schlüsseladministratoren das Löschen dieses Schlüssels aktiviert und klicken Sie auf Weiter.

  10. Geben Sie für Schlüsselbenutzer den IAM-Benutzer aus dem vorherigen Schritt an und wählen Sie ihn aus. Klicken Sie auf Weiter.

  11. Prüfen Sie die Konfiguration.

  12. Fügen Sie für Schlüsselrichtlinie Folgendes zur Richtlinien-Anweisung hinzu:

    {
    "Sid": "Allow use of the KMS key on behalf of RDS",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "rds.amazonaws.com"
        ]
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

  13. Klicken Sie auf Beenden.

Schritt 5: Erstellen Sie ein AWS Geheimnis

So erstellen Sie ein Secret
Anmerkung

Stellen Sie sicher, dass Sie das Geheimnis in demselben AWS Konto erstellen, das die RDS for SQL Server-DB-Instance enthält, die Sie Ihrem selbstverwalteten AD hinzufügen möchten.

  1. Wählen Sie im AWS Secrets Manager die Option Neues Geheimnis speichern aus.

  2. Als Secret-Typ wählen Sie Anderer Secret-Typ aus.

  3. Fügen Sie für Schlüssel/Wert-Paare Ihre beiden Schlüssel hinzu:

    1. Geben Sie als ersten Schlüssel SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME ein.

    2. Geben Sie als Wert für den ersten Schlüssel nur den Benutzernamen (ohne das Domain-Präfix) des AD-Benutzers ein. Geben Sie den Domain-Namen nicht an, da dies dazu führt, dass die Instance-Erstellung fehlschlägt.

    3. Geben Sie als zweiten Schlüssel SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD ein.

    4. Geben Sie als Wert des zweiten Schlüssels das Passwort ein, das Sie für den AD-Benutzer in Ihrer Domain erstellt haben.

  4. Geben Sie als Verschlüsselungsschlüssel den KMS-Schlüssel ein, den Sie in einem vorherigen Schritt erstellt haben, und klicken Sie auf Weiter.

  5. Geben Sie als Secret-Name einen aussagekräftigen Namen ein, anhand dessen Sie das Secret später leichter finden können.

  6. (Optional) Geben Sie im Feld Beschreibung eine Beschreibung für den Secret-Namen ein.

  7. Klicken Sie unter Ressourcenberechtigung auf Bearbeiten.

  8. Fügen Sie der Berechtigungsrichtlinie folgende Richtlinie hinzu:

    Anmerkung

    Wir empfehlen Ihnen, die aws:sourceAccount und aws:sourceArn Bedingungen in der Police zu verwenden, um das Problem des verwirrten Vertreters zu vermeiden. Verwenden Sie Ihre AWS-Konto für aws:sourceAccount und die RDS for SQL Server-DB-Instance ARN füraws:sourceArn. Weitere Informationen finden Sie unter Vermeidung des dienstübergreifenden Confused-Deputy-Problems.

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Effect": "Allow",
            "Principal":
            {
                "Service": "rds.amazonaws.com"
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "aws:sourceAccount": "123456789012"
                },
                "ArnLike":
                {
                    "aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
                }
            }
        }
    ]
}

  9. Klicken Sie auf Speichern und dann auf Weiter.

  10. Behalten Sie für Rotationseinstellungen konfigurieren die Standardwerte bei und wählen Sie Weiter aus.

  11. Überprüfen Sie die Einstellungen für das Secret und klicken Sie auf Speichern.

  12. Wählen Sie das von Ihnen erstellte Secret aus und kopieren Sie den Wert für den Secret-ARN. Dieser wird im nächsten Schritt bei der Einrichtung des selbstverwalteten Active Directory verwendet.