Schritt 1: Erstellen einer Organisationseinheit in Ihrem AD Schritt 2: Erstellen eines AD-Domain-Benutzers in Ihrem AD Schritt 3: Delegieren der Kontrolle an den AD-Benutzer Schritt 4: Erstellen Sie einen AWS KMS Schlüssel.Schritt 5: Erstellen Sie ein AWS Geheimnis.Schritt 6: Erstellen oder Ändern einer SQL-Server-DB-Instance Schritt 7: Erstellen von SQL-Server-Anmeldungen für die Windows-Authentifizierung

Einrichten eines selbstverwalteten Active Directory

Gehen Sie wie folgt vor, um ein selbstverwaltetes AD einzurichten.

Themen

Schritt 1: Erstellen einer Organisationseinheit in Ihrem AD
Schritt 2: Erstellen eines AD-Domain-Benutzers in Ihrem AD
Schritt 3: Delegieren der Kontrolle an den AD-Benutzer
Schritt 4: Erstellen Sie einen AWS KMS Schlüssel
Schritt 5: Erstellen Sie ein AWS Geheimnis
Schritt 6: Erstellen oder Ändern einer SQL-Server-DB-Instance
Schritt 7: Erstellen von SQL-Server-Anmeldungen für die Windows-Authentifizierung

Schritt 1: Erstellen einer Organisationseinheit in Ihrem AD

Wichtig

Wir empfehlen, für jedes AWS Konto, das eine RDS for SQL Server-DB-Instance besitzt, die Ihrer selbstverwalteten AD-Domäne beigetreten ist, eine dedizierte Organisationseinheit und Dienstanmeldedaten zu erstellen, die auf diese Organisationseinheit beschränkt sind. Durch die Zuordnung einer Organisationseinheit und von Service-Anmeldeinformationen können Sie widersprüchliche Berechtigungen vermeiden und dem Prinzip der geringsten Berechtigung folgen.

So erstellen Sie eine Organisationseinheit in Ihrem AD

Stellen Sie als Domain-Administrator eine Verbindung zu Ihrer AD-Domain her.
Öffnen Sie Active Directory-Benutzer und -Computer und wählen Sie die Domain aus, in der Sie Ihre Organisationseinheit erstellen möchten.
Klicken Sie mit der rechten Maustaste auf die Domain und wählen Sie Neu und dann Organisationseinheit aus.
Geben Sie einen Namen für die Organisationseinheit ein.
Lassen Sie das Kontrollkästchen für Container vor versehentlichem Löschen schützen aktiviert.
Klicken Sie auf OK. Ihre neue Organisationseinheit wird unter Ihrer Domain angezeigt.

Schritt 2: Erstellen eines AD-Domain-Benutzers in Ihrem AD

Die Anmeldeinformationen des Domänenbenutzers werden für das Geheimnis in AWS Secrets Manager verwendet.

So erstellen Sie einen AD-Domain-Benutzer in Ihrem AD

Öffnen Sie Active-Directory-Benutzer und -Computer und wählen Sie die Domain und die Organisationseinheit aus, in der Sie Ihren Benutzer erstellen möchten.
Klicken Sie mit der rechten Maustaste auf das Objekt Benutzer und wählen Sie Neu und dann Benutzer aus.
Geben Sie einen Vornamen, Nachnamen und Anmeldenamen für den Benutzer ein. Klicken Sie auf Weiter.
Geben Sie ein Passwort für den Benutzer ein. Wählen Sie nicht Benutzer muss das Passwort bei der nächsten Anmeldung ändern aus. Wählen Sie nicht Konto ist deaktiviert aus. Klicken Sie auf Weiter.
Klicken Sie auf OK. Ihr neuer Benutzer wird unter Ihrer Domain angezeigt.

Schritt 3: Delegieren der Kontrolle an den AD-Benutzer

So delegieren Sie die Kontrolle an den AD-Domain-Benutzer in Ihrer Domain

Öffnen Sie das MMC-Snap-In Active-Directory-Benutzer und -Computer und wählen Sie die Domain aus, in der Sie Ihren Benutzer erstellen möchten.
Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, die Sie zuvor erstellt haben, und wählen Sie Kontrolle delegieren aus.
Klicken Sie im Assistenten für die Delegation der Kontrolle auf Weiter.
Klicken Sie im Abschnitt Benutzer oder Gruppen auf Hinzufügen.
Geben Sie im Abschnitt Benutzer, Computer oder Gruppen auswählen den von Ihnen erstellten AD-Benutzer ein und klicken Sie auf Namen überprüfen. Wenn Ihre AD-Benutzerprüfung erfolgreich ist, klicken Sie auf OK.
Bestätigen Sie im Abschnitt Benutzer oder Gruppen, dass Ihr AD-Benutzer hinzugefügt wurde, und klicken Sie auf Weiter.
Wählen Sie im Abschnitt Zu delegierende Aufgaben die Option Eine zu delegierende benutzerdefinierte Aufgabe erstellen aus und klicken Sie auf Weiter.
Gehen Sie im Abschnitt Active-Directory-Objekttyp wie folgt vor:
1. Wählen Sie Nur die folgenden Objekte in dem Ordner aus.
2. Wählen Sie Computerobjekte aus.
3. Wählen Sie Ausgewählte Objekte in diesem Ordner erstellen aus.
4. Wählen Sie Ausgewählte Objekte in diesem Ordner löschen aus und klicken Sie auf Weiter.
Gehen Sie im Abschnitt Berechtigungen wie folgt vor:
1. Behalten Sie die Auswahl von Allgemein bei.
2. Wählen Sie Überprüfter Schreibvorgang in den DNS-Hostnamen aus.
3. Wählen Sie Überprüfter Schreibvorgang in den Service-Prinzipalnamen aus und klicken Sie auf Weiter.
Überprüfen und bestätigen Sie Ihre Einstellungen unter Den Assistenten für die Delegation der Kontrolle abschließen und klicken Sie auf Fertig stellen.

Schritt 4: Erstellen Sie einen AWS KMS Schlüssel

Der KMS-Schlüssel wird verwendet, um Ihr AWS Geheimnis zu verschlüsseln.

Um einen Schlüssel zu erstellen AWS KMS

Anmerkung

Verwenden Sie für den Verschlüsselungsschlüssel nicht den AWS Standard-KMS-Schlüssel. Stellen Sie sicher, dass Sie den AWS KMS Schlüssel in demselben AWS Konto erstellen, das die RDS for SQL Server-DB-Instance enthält, die Sie Ihrem selbstverwalteten AD hinzufügen möchten.

Wählen Sie in der AWS KMS Konsole Create Key aus.
Wählen Sie für Schlüsseltyp Symmetrisch aus.
Wählen Sie für Schlüsselnutzung die Option Verschlüsseln und Entschlüsseln aus.
Für Advanced options (Erweiterte Optionen):
1. Wählen Sie unter Schlüsselmaterialursprung KMS aus.
2. Wählen Sie für Regionalität Single-Region-Schlüssel aus und klicken Sie auf Weiter.
Geben Sie für Alias einen Namen für den KMS-Schlüssel an.
(Optional) Geben Sie unter Beschreibung eine Beschreibung des KMS-Schlüssels an.
(Optional) Geben Sie für Tags ein Tag für den KMS-Schlüssel an und klicken Sie auf Weiter.
Geben Sie für Schlüsseladministratoren den Namen eines IAM-Benutzers an und wählen Sie ihn aus.
Lassen Sie für Schlüssellöschung das Kontrollkästchen für Ermöglicht Schlüsseladministratoren das Löschen dieses Schlüssels aktiviert und klicken Sie auf Weiter.
Geben Sie für Schlüsselbenutzer den IAM-Benutzer aus dem vorherigen Schritt an und wählen Sie ihn aus. Klicken Sie auf Weiter.
Prüfen Sie die Konfiguration.

Fügen Sie für Schlüsselrichtlinie Folgendes zur Richtlinien-Anweisung hinzu:


{
    "Sid": "Allow use of the KMS key on behalf of RDS",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "rds.amazonaws.com"
        ]
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

Klicken Sie auf Beenden.

Schritt 5: Erstellen Sie ein AWS Geheimnis

So erstellen Sie ein Secret

Anmerkung

Stellen Sie sicher, dass Sie das Geheimnis in demselben AWS Konto erstellen, das die RDS for SQL Server-DB-Instance enthält, die Sie Ihrem selbstverwalteten AD hinzufügen möchten.

Wählen Sie im AWS Secrets Manager die Option Neues Geheimnis speichern aus.
Als Secret-Typ wählen Sie Anderer Secret-Typ aus.
Fügen Sie für Schlüssel/Wert-Paare Ihre beiden Schlüssel hinzu:
1. Geben Sie als ersten Schlüssel CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME ein.
2. Geben Sie für den Wert des ersten Schlüssels nur den Benutzernamen (ohne das Domainpräfix) des AD-Benutzers ein. Geben Sie den Domainnamen nicht an, da dies dazu führt, dass die Instanzerstellung fehlschlägt.
3. Geben Sie als zweiten Schlüssel CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD ein.
4. Geben Sie als Wert des zweiten Schlüssels das Passwort ein, das Sie für den AD-Benutzer in Ihrer Domain erstellt haben.
Geben Sie als Verschlüsselungsschlüssel den KMS-Schlüssel ein, den Sie in einem vorherigen Schritt erstellt haben, und klicken Sie auf Weiter.
Geben Sie als Secret-Name einen aussagekräftigen Namen ein, anhand dessen Sie das Secret später leichter finden können.
(Optional) Geben Sie im Feld Beschreibung eine Beschreibung für den Secret-Namen ein.
Klicken Sie unter Ressourcenberechtigung auf Bearbeiten.

Fügen Sie der Berechtigungsrichtlinie folgende Richtlinie hinzu:

Anmerkung

Wir empfehlen Ihnen, die aws:sourceAccount und aws:sourceArn Bedingungen in der Police zu verwenden, um das Problem des verwirrten Vertreters zu vermeiden. Verwenden Sie Ihre AWS-Konto für aws:sourceAccount und die RDS for SQL Server-DB-Instance ARN füraws:sourceArn. Weitere Informationen finden Sie unter Vermeidung des dienstübergreifenden Confused-Deputy-Problems.


{
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Effect": "Allow",
            "Principal":
            {
                "Service": "rds.amazonaws.com"
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "aws:sourceAccount": "123456789012"
                },
                "ArnLike":
                {
                    "aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
                }
            }
        }
    ]
}

Klicken Sie auf Speichern und dann auf Weiter.
Behalten Sie für Rotationseinstellungen konfigurieren die Standardwerte bei und wählen Sie Weiter aus.
Überprüfen Sie die Einstellungen für das Secret und klicken Sie auf Speichern.
Wählen Sie das von Ihnen erstellte Secret aus und kopieren Sie den Wert für den Secret-ARN. Dieser wird im nächsten Schritt bei der Einrichtung des selbstverwalteten Active Directory verwendet.

Schritt 6: Erstellen oder Ändern einer SQL-Server-DB-Instance

Sie können die Konsole, die CLI oder die RDS-API verwenden, um eine RDS-für- SQL-Server-DB-Instance mit einer selbstverwalteten AD-Domain zu verknüpfen. Sie können dafür eine der folgenden Möglichkeiten auswählen:

Erstellen Sie mit der Konsole, dem create-db-instanceCLI-Befehl oder dem Vorgang Create DBInstance RDS API eine neue SQL Server-DB-Instance.

Detaillierte Anweisungen finden Sie unter Erstellen einer Amazon RDS-DB-Instance.
Ändern Sie eine vorhandene SQL Server-DB-Instance mithilfe der Konsole, des modify-db-instanceCLI-Befehls oder der Operation Modify DBInstance RDS API.

Detaillierte Anweisungen finden Sie unter Ändern einer Amazon RDS DB-Instance.
Stellen Sie mithilfe der Konsole, des CLI-Befehls -db-snapshot oder des API-Vorgangs Restore From DBSnapshot RDS eine SQL restore-db-instance-fromServer-DB-Instance DBInstance aus einem DB-Snapshot wieder her.

Detaillierte Anweisungen finden Sie unter Wiederherstellung auf einer DB-Instance.
Stellen Sie eine SQL Server-DB-Instance point-in-time mithilfe der Konsole, des Befehls restore-db-instance-to- point-in-time CLI oder der Operation Restore DBInstance ToPointInTime RDS API in einer wieder her.

Detaillierte Anweisungen finden Sie unter Wiederherstellung einer DB-Instance zu einem bestimmten Zeitpunkt für Amazon RDS.

Wenn Sie den verwenden AWS CLI, sind die folgenden Parameter erforderlich, damit die DB-Instance die von Ihnen erstellte selbstverwaltete Active Directory-Domäne verwenden kann:

Verwenden Sie für den Parameter --domain-fqdn den vollständig qualifizierten Domain-Namen (FQDN) Ihres selbstverwalteten Active Directory.
Verwenden Sie für den Parameter --domain-ou die Organisationseinheit, die Sie in Ihrem selbstverwalteten AD erstellt haben.
Verwenden Sie für den Parameter --domain-auth-secret-arn den Wert des Secret-ARN, den Sie in einem vorherigen Schritt erstellt haben.
Verwenden Sie für den --domain-dns-ips Parameter die primären und sekundären IPv4 Adressen der DNS-Server für Ihr selbstverwaltetes AD. Wenn Sie keine sekundäre DNS-Server-IP-Adresse haben, geben Sie die primäre IP-Adresse zweimal ein.

Die folgenden CLI-Beispielbefehle zeigen, wie Sie eine RDS-für-SQL-Server-DB-Instance mit einer selbstverwalteten AD-Domain erstellen, ändern und entfernen.

Wichtig

Wenn Sie eine DB-Instance ändern, um sie einer selbstverwalteten AD-Domain hinzuzufügen oder aus dieser zu entfernen, ist ein Neustart der DB-Instance erforderlich, damit die Änderung wirksam wird. Sie können wählen, ob Sie die Änderungen sofort übernehmen oder bis zum nächsten Wartungsfenster warten möchten. Wenn Sie die Option Sofort anwenden auswählen, führt dies bei einer Single-AZ-DB-Instance zu Ausfallzeiten. Eine Multi-AZ-DB-Instance führt ein Failover durch, bevor ein Neustart ausgeführt wird. Weitere Informationen finden Sie unter Einstellung „Zeitplanänderungen“ verwenden.

Mit dem folgenden CLI-Befehl wird eine neue RDS-für-SQL-Server-DB-Instance erstellt und einer selbstverwalteten AD-Domain hinzugefügt.

Für LinuxmacOS, oderUnix:


aws rds create-db-instance \
    --db-instance-identifier my-DB-instance \
    --db-instance-class db.m5.xlarge \
    --allocated-storage 50 \
    --engine sqlserver-se \
    --engine-version 15.00.4043.16.v1 \
    --license-model license-included \
    --master-username my-master-username \
    --master-user-password my-master-password \
    --domain-fqdn my_AD_domain.my_AD.my_domain \
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Windows:


aws rds create-db-instance ^
    --db-instance-identifier my-DB-instance ^
    --db-instance-class db.m5.xlarge ^
    --allocated-storage 50 ^
    --engine sqlserver-se ^
    --engine-version 15.00.4043.16.v1 ^
    --license-model license-included ^
    --master-username my-master-username ^
    --master-user-password my-master-password ^
    --domain-fqdn my-AD-test.my-AD.mydomain ^
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ ^
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Mit dem folgenden CLI-Befehl wird eine vorhandene RDS-für-SQL-Server-DB-Instance, so geändert, dass sie eine selbstverwaltete Active-Directory-Domain verwendet.

Für LinuxmacOS, oderUnix:


aws rds modify-db-instance \
    --db-instance-identifier my-DB-instance \
    --domain-fqdn my_AD_domain.my_AD.my_domain \
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ 
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Windows:


aws rds modify-db-instance ^
    --db-instance-identifier my-DBinstance ^
    --domain-fqdn my_AD_domain.my_AD.my_domain ^
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" ^ 
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Mit dem folgenden CLI-Befehl wird eine RDS-für-SQL-Server-DB-Instance aus einer selbstverwalteten Active-Directory-Domain entfernt.

Für LinuxmacOS, oderUnix:


aws rds modify-db-instance \
    --db-instance-identifier my-DB-instance \
    --disable-domain

Windows:


aws rds modify-db-instance ^
    --db-instance-identifier my-DB-instance ^
    --disable-domain

Schritt 7: Erstellen von SQL-Server-Anmeldungen für die Windows-Authentifizierung

Verwenden Sie die Anmeldeinformationen für den Amazon-RDS-Masterbenutzer, um eine Verbindung zur SQL-Server-DB-Instance herzustellen, wie Sie es bei jeder anderen DB-Instance tun würden. Da die DB-Instance der selbstverwalteten AD-Domain hinzugefügt wurde, können Sie SQL-Server-Anmeldungen und -Benutzer bereitstellen. Sie tun dies über das AD-Dienstprogramm für Benutzer und Gruppen in Ihrer selbstverwalteten AD-Domain. Datenbankberechtigungen werden über die Standard-SQL-Server-Berechtigungen verwaltet, die für die Windows-Anmeldungen gewährt und widerrufen werden.

Damit sich ein Benutzer des selbstverwalteten Active Directory mit SQL Server authentifizieren kann, muss eine SQL-Server-Windows-Anmeldung für den Benutzer des selbstverwalteten AD oder für eine Gruppe des selbstverwalteten AD, der der Benutzer angehört, vorliegen. Eine differenzierte Zugriffskontrolle wird durch das Gewähren und Widerrufen von Berechtigungen für diese SQL Server-Anmeldungen gewährleistet. Ein Benutzer des selbstverwalteten AD, der über keine SQL-Server-Anmeldung verfügt oder zu keiner Gruppe des selbstverwalteten AD mit einer solchen Anmeldung gehört, kann nicht auf die SQL-Server-DB-Instance zugreifen.

Die Berechtigung ALTER ANY LOGIN ist erforderlich, um eine SQL-Server-Anmeldung für das selbstverwaltete AD zu erstellen. Wenn Sie mit dieser Berechtigung noch keine Anmeldungen erstellt haben, verbinden Sie sich mithilfe der SQL-Server-Authentifizierung als Masterbenutzer der DB-Instance und erstellen Sie Ihre SQL-Server-Anmeldungen für das selbstverwaltete AD im Kontext des Masterbenutzers.

Sie können einen Data Definition Language (DDL)-Befehl wie im Folgenden dargestellt ausführen, um eine SQL-Server-Anmeldung für einen Benutzer des selbstverwalteten Active Directory oder eine entsprechende Gruppe zu erstellen.

Anmerkung

Geben Sie Benutzer und Gruppen unter Verwendung des Anmeldenamens von Windows 2000 im Format a my_AD_domain\my_AD_domain_user. Sie können keinen User Principle Name (UPN) im Format verwenden my_AD_domain_user@my_AD_domain.


USE [master]
GO
CREATE LOGIN [my_AD_domain\my_AD_domain_user] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO

Weitere Informationen finden Sie unter ANMELDENAME ERSTELLEN (Transact-SQL) in der Microsoft Developer Network-Dokumentation.

Benutzer (sowohl menschliche Benutzer als auch Anwendungen) aus Ihrer Domain können sich nun von einem einer selbstverwalteten AD-Domain hinzugefügten Client-Computer mithilfe der Windows-Authentifizierung mit der RDS-für-SQL-Server-Instance verbinden.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Voraussetzungen

Verwalten einer DB-Instance in einer selbstverwalteten Active-Directory-Domain