Verfügbarkeit von Regionen und Versionen Übersicht über die Kerberos-Authentifizierung für DB-Instances Verwalten einer DB-Instance in einer Domäne

Verwenden der Kerberos-Authentifizierung für Amazon RDS für Db2

Sie können die Kerberos-Authentifizierung verwenden, um Benutzer zu authentifizieren, wenn diese sich mit Ihrer DB-Instance von Amazon RDS für Db2 verbinden. In dieser Konfiguration arbeitet Ihre DB-Instance mit AWS Directory Service for Microsoft Active Directory, auch als AWS Managed Microsoft AD bezeichnet. Sie fügen die Domain und andere Informationen Ihres AWS Managed Microsoft AD-Verzeichnisses zu Ihrer DB-Instance von RDS für Db2 hinzu. Wenn Benutzer sich mit einer DB-Instance von RDS für Db2 authentifizieren, die mit einer vertrauenswürdigen Domain verbunden ist, werden die Authentifizierungsanfragen an das AWS Managed Microsoft AD-Verzeichnis weitergeleitet, das Sie mit Directory Service erstellt haben.

Wenn Sie alle Ihre Anmeldeinformationen im selben Verzeichnis aufbewahren, können Sie Zeit und Mühe sparen. Mit diesem Ansatz haben Sie einen zentralen Ort für die Speicherung und Verwaltung von Anmeldedaten für mehrere DB-Instances. Die Verwendung eines Verzeichnisses kann auch Ihr allgemeines Sicherheitsprofil verbessern.

Außerdem können Sie von Ihrem eigenen On-Premises Microsoft Active Directory auf Anmeldeinformationen zugreifen. Dazu erstellen Sie eine vertrauensvolle Domain-Beziehung, damit das AWS Managed Microsoft AD-Verzeichnis Ihrem On-Premises Microsoft Active Directory vertraut. Auf diese Weise können Ihre Benutzer auf Ihre DB-Instances von RDS für Db2 mit derselben Windows-Oberfläche für das Single Sign-On (SSO) zugreifen, die sie auch für den Zugriff auf Workloads in Ihrem On-Premises-Netzwerk verwenden.

Weitere Informationen finden Sie unter Was ist Directory Service im AWS Directory Service-Administratorhandbuch.

Informationen zur Kerberos-Authentifizierung finden Sie unter den folgenden Themen:

Themen

Verfügbarkeit von Regionen und Versionen

Die Verfügbarkeit von Funktionen und der Support variieren zwischen bestimmten Versionen der einzelnen Datenbank-Engines und in allen AWS-Regionen. Weitere Hinweise zur Versions- und Regionsverfügbarkeit von RDS für Db2 mit Kerberos-Authentifizierung finden Sie unter Unterstützte Regionen und DB-Engines für die Kerberos-Authentifizierung in Amazon RDS.

Anmerkung

Die Kerberos-Authentifizierung wird für DB-Instance-Klassen, die für DB-Instances von RDS für Db2 veraltet sind, nicht unterstützt. Weitere Informationen finden Sie unter Instance-Klassen von Amazon RDS für Db2.

Übersicht über die Kerberos-Authentifizierung für DB-Instances von RDS für Db2

Führen Sie die folgenden allgemeinen Schritte aus, die später noch ausführlicher beschrieben werden, um die Kerberos-Authentifizierung für eine DB-Instance von RDS für Db2 einzurichten:

Verwenden Sie AWS Managed Microsoft AD zum Erstellen eines AWS Managed Microsoft AD-Verzeichnisses. Zur Erstellung des Verzeichnisses können Sie die AWS-Managementkonsole, AWS Command Line Interface (AWS CLI) oder Directory Service verwenden. Weitere Informationen finden Sie unter Create your AWS Managed Microsoft AD directory im AWS Directory Service-Administratorhandbuch.
Erstellen Sie eine AWS Identity and Access Management-(IAM)-Rolle, die die verwaltete IAM-Richtlinie AmazonRDSDirectoryServiceAccess verwendet. Die IAM-Rolle erlaubt, dass Amazon RDS Aufrufe an Ihr Verzeichnis schickt.

Um mit der IAM-Rolle Zugriff zu gewähren, muss der AWS Security Token Service (AWS STS)-Endpunkt in der richtigen AWS-Region für Ihr AWS-Konto aktiviert sein. AWS STS-Endpunkte sind standardmäßig in allen AWS-Regionen aktiv und Sie können sie ohne weitere Maßnahmen nutzen. Weitere Informationen finden Sie unter Aktivieren und Deaktivieren von AWS STS in einer AWS-Region im IAM-Benutzerhandbuch.
Erstellen oder ändern Sie eine DB-Instance von RDS für Db2 über die AWS-Managementkonsole, AWS CLI oder RDS-API mit einer der folgenden Methoden:
- Erstellen Sie eine neue DB-Instance von RDS für Db2 mit der Konsole, dem Befehl create-db-instance oder der RDS-API-Operation CreateDBInstance. Detaillierte Anweisungen finden Sie unter Erstellen einer Amazon-RDS-DB-Instance.
- Ändern Sie eine vorhandene DB-Instance von RDS für Db2 mit der Konsole, dem Befehl modify-db-instance oder der API-Operation ModifyDBInstance. Detaillierte Anweisungen finden Sie unter Ändern einer Amazon-RDS-DB-Instance.
- Stellen Sie eine DB-Instance von RDS für Db2 aus einem DB-Snapshot über die Konsole, den Befehl restore-db-instance-from-db-snapshot oder die API-Operation RestoreDBInstanceFromDBSnapshot wieder her. Detaillierte Anweisungen finden Sie unter Wiederherstellen auf eine DB-Instance.
- Stellen Sie eine DB-Instance von RDS für Db2 zu einem bestimmten Zeitpunkt über die Konsole, den Befehl restore-db-instance-to-point-in-time oder die API-Operation RestoreDBInstanceToPointInTime wieder her. Detaillierte Anweisungen finden Sie unter Wiederherstellen einer DB-Instance auf einen bestimmten Zeitpunkt für Amazon RDS.
Sie können die DB-Instance in derselben Amazon Virtual Private Cloud (VPC) wie das Verzeichnis oder in einem anderen AWS-Konto oder einer anderen VPC finden. Wenn Sie die DB-Instance von RDS für Db2 erstellen oder ändern, gehen Sie wie folgt vor:
- Geben Sie den Domänenbezeichner (d-*-Bezeichner) an, der beim Erstellen Ihres Verzeichnisses generiert wurde.
- Geben Sie außerdem den Namen der IAM-Rolle an, die Sie erstellt haben.
- Stellen Sie sicher, dass die Sicherheitsgruppe der DB-Instance eingehenden Datenverkehr von der Sicherheitsgruppe des Verzeichnisses empfangen kann.
Konfigurieren Sie Ihren Db2-Client und stellen Sie sicher, dass der Datenverkehr zwischen dem Client-Host und Directory Service für die folgenden Ports möglich ist:
- TCP/UDP-Port 53 – DNS
- TCP 88 – Kerberos-Authentifizierung
- TCP 389 – LDAP
- TCP 464 – Kerberos-Authentifizierung

Verwalten einer DB-Instance in einer Domäne

Sie können die AWS-Managementkonsole, die AWS CLI oder die RDS-API verwenden, um Ihre DB-Instance und deren Beziehung zu Ihrem Microsoft Active Directory zu verwalten. Sie können z. B. ein Active Directory zuordnen, um die Kerberos-Authentifizierung zu aktivieren. Sie können die Zuordnung für ein Active Directory auch entfernen, um die Kerberos-Authentifizierung zu deaktivieren. Sie können auch eine DB-Instance, die extern von einem Microsoft Active Directory authentifiziert werden soll, in ein anderes verschieben.

Sie können z. B. den CLI-Befehl modify-db-instance ausführen, um Folgendes durchzuführen:

Erneut versuchen, die Kerberos-Authentifizierung für eine fehlgeschlagene Mitgliedschaft zu aktivieren, indem Sie die Verzeichnis-ID der aktuellen Mitgliedschaft für die --domain-Option angeben
Die Kerberos-Authentifizierung auf einer DB-Instance deaktivieren, indem Sie none für die --domain-Option angeben
Eine DB-Instance von einer Domain in eine andere verschieben, indem Sie die Domain-ID der neuen Domain für die --domain-Option angeben

Grundlegendes zur Domänenmitgliedschaft

Nachdem Sie Ihre DB-Instance erstellt oder geändert haben, wird sie Mitglied der Domäne. Sie können den Status der Domain-Mitgliedschaft in der Konsole oder durch Ausführen des Befehls describe-db-instances anzeigen. Der Status der DB-Instance kann einer der folgenden sein:

kerberos-enabled – Für die DB-Instance ist die Kerberos-Authentifizierung aktiviert.
enabling-kerberos – AWS ist dabei, die Kerberos-Authentifizierung auf dieser DB-Instance zu aktivieren.
pending-enable-kerberos – Das Aktivieren der Kerberos-Authentifizierung ist für diese DB-Instance ausstehend.
pending-maintenance-enable-kerberos – AWS versucht, die Kerberos-Authentifizierung auf der DB-Instance während des nächsten geplanten Wartungsfensters zu aktivieren.
pending-disable-kerberos – Das Deaktivieren der Kerberos-Authentifizierung ist für diese DB-Instance ausstehend.
pending-maintenance-disable-kerberos – AWS versucht, die Kerberos-Authentifizierung auf der DB-Instance während des nächsten geplanten Wartungsfensters zu deaktivieren.
enable-kerberos-failed – Ein Konfigurationsproblem verhinderte, dass AWS die Kerberos-Authentifizierung auf der DB-Instance aktivierte. Beheben Sie das Konfigurationsproblem, bevor Sie den Befehl zum Ändern der DB-Instance erneut ausgeben.
disabling-kerberos – AWS ist dabei, die Kerberos-Authentifizierung auf dieser DB-Instance zu deaktivieren.

Eine Anfrage zur Aktivierung der Kerberos-Authentifizierung kann wegen eines Netzwerkverbindungsproblems oder einer falschen IAM-Rolle fehlschlagen. In einigen Fällen kann der Versuch, die Kerberos-Authentifizierung zu aktivieren, fehlschlagen, wenn Sie eine DB-Instance erstellen oder ändern. Wenn dies passiert, stellen Sie sicher, dass Sie die richtige IAM-Rolle verwenden, und ändern Sie dann die DB-Instance, um der Domain beizutreten.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verschlüsseln mit SSL/TLS

Einrichten der Kerberos-Authentifizierung