KerberosAuthentifizierung für Amazon RDS for Db2 verwenden - Amazon Relational Database Service
Verfügbarkeit von Regionen und VersionenÜberblick über die Kerberos Authentifizierung für DB-InstancesVerwalten einer DB-Instance in einer Domäne

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

KerberosAuthentifizierung für Amazon RDS for Db2 verwenden

Sie können die Kerberos Authentifizierung verwenden, um Benutzer zu authentifizieren, wenn sie sich mit Ihrer Amazon RDS for Db2-DB-Instance verbinden. Ihre DB-Instance arbeitet mit AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD), um die Authentifizierung zu aktivierenKerberos. Wenn sich Benutzer mit einer RDS for Db2-DB-Instance authentifizieren, die der vertrauenden Domain beigetreten ist, werden Authentifizierungsanfragen an das Verzeichnis weitergeleitet, mit dem Sie sie erstellen. AWS Directory Service Weitere Informationen finden Sie unter Was ist AWS Directory Service im AWS Directory Service -Administratorhandbuch.

Erstellen Sie zunächst ein AWS Managed Microsoft AD Verzeichnis zum Speichern von Benutzeranmeldedaten. Fügen Sie dann die Domäne und andere Informationen Ihres AWS Managed Microsoft AD Verzeichnisses zu Ihrer RDS for Db2-DB-Instance hinzu. Wenn sich Benutzer bei der RDS for Db2-DB-Instance authentifizieren, werden Authentifizierungsanfragen an das Verzeichnis weitergeleitet. AWS Managed Microsoft AD

Wenn Sie alle Ihre Anmeldeinformationen im selben Verzeichnis aufbewahren, können Sie Zeit und Mühe sparen. Mit diesem Ansatz haben Sie einen zentralen Ort für die Speicherung und Verwaltung von Anmeldedaten für mehrere DB-Instances. Die Verwendung eines Verzeichnisses kann auch Ihr allgemeines Sicherheitsprofil verbessern.

Informationen zur Kerberos Authentifizierung finden Sie in den folgenden Themen.

Themen

Verfügbarkeit von Regionen und Versionen

Die Verfügbarkeit von Funktionen und der Support variieren zwischen bestimmten Versionen der einzelnen Datenbank-Engines und in allen AWS-Regionen. Weitere Informationen zur Verfügbarkeit von RDS for Db2 mit Kerberos Authentifizierung in Version und Region finden Sie unterUnterstützte Regionen und DB-Engines für die Kerberos-Authentifizierung in Amazon RDS.

Anmerkung

KerberosDie Authentifizierung wird nicht für DB-Instance-Klassen unterstützt, die für RDS for Db2-DB-Instances veraltet sind. Weitere Informationen finden Sie unter Amazon RDS für Db2-Instance-Klassen.

Überblick über die Kerberos Authentifizierung für RDS für Db2-DB-Instances

Um die Kerberos Authentifizierung für eine RDS for Db2-DB-Instance einzurichten, führen Sie die folgenden allgemeinen Schritte aus, die später ausführlicher beschrieben werden:

  1. Wird verwendet AWS Managed Microsoft AD , um ein AWS Managed Microsoft AD Verzeichnis zu erstellen. Sie können das AWS Management Console, das AWS Command Line Interface (AWS CLI) oder verwenden, AWS Directory Service um das Verzeichnis zu erstellen. Weitere Informationen finden Sie unter AWS Managed Microsoft AD Verzeichnis erstellen im AWS Directory Service Administratorhandbuch.

  2. Erstellen Sie eine AWS Identity and Access Management (IAM-) Rolle, die die verwaltete IAM-Richtlinie verwendet. AmazonRDSDirectoryServiceAccess Die IAM-Rolle ermöglicht Amazon RDS, Ihr Verzeichnis aufzurufen.

    Damit die IAM-Rolle den Zugriff ermöglicht, muss der Endpunkt AWS Security Token Service (AWS STS) in der AWS-Region für Sie richtigen Weise aktiviert sein. AWS-Konto AWS STS Endpoints sind standardmäßig in allen aktiv AWS-Regionen, und Sie können sie ohne weitere Aktionen verwenden. Weitere Informationen finden Sie unter Aktivierung und Deaktivierung AWS STSAWS-Region im IAM-Benutzerhandbuch.

  3. Erstellen oder ändern Sie eine RDS for Db2-DB-Instance mithilfe der AWS Management Console AWS CLI, der oder der RDS-API mit einer der folgenden Methoden:

    Sie können die DB-Instance in derselben Amazon Virtual Private Cloud (VPC) wie das Verzeichnis oder in einer anderen AWS-Konto oder VPC lokalisieren. Wenn Sie die RDS for Db2-DB-Instance erstellen oder ändern, führen Sie die folgenden Aufgaben aus:

    • Geben Sie den Domänenbezeichner (d-*-Bezeichner) an, der beim Erstellen Ihres Verzeichnisses generiert wurde.

    • Geben Sie außerdem den Namen der IAM-Rolle an, die Sie erstellt haben.

    • Stellen Sie sicher, dass die Sicherheitsgruppe der DB-Instance eingehenden Datenverkehr von der Verzeichnissicherheitsgruppe empfangen kann.

  4. Konfigurieren Sie Ihren Db2-Client und stellen Sie sicher, dass der Datenverkehr zwischen dem Client-Host und AWS Directory Service für die folgenden Ports fließen kann:

    • TCP/UDP-Port 53 — DNS

    • TCP 88 — Authentifizierung Kerberos

    • TCP 389 — LDAP

    • TCP 464 — Authentifizierung Kerberos

Verwalten einer DB-Instance in einer Domäne

Sie können die AWS Management Console, oder die RDS-API verwenden AWS CLI, um Ihre DB-Instance und ihre Beziehung zu Ihrer zu verwaltenMicrosoft Active Directory. Sie können beispielsweise eine zuordnen, um die Kerberos Authentifizierung Active Directory zu aktivieren. Sie können auch die Zuordnung für eine entfernenActive Directory, um die Kerberos Authentifizierung zu deaktivieren. Sie können eine DB-Instance auch so verschieben, dass sie von einer Instanz extern authentifiziert werden Microsoft Active Directory soll.

Wenn Sie beispielsweise den modify-db-instanceCLI-Befehl ausführen, können Sie die folgenden Aktionen ausführen:

  • Versuchen Sie erneut, die Kerberos Authentifizierung für eine fehlgeschlagene Mitgliedschaft zu aktivieren, indem Sie die Verzeichnis-ID der aktuellen Mitgliedschaft für die --domain Option angeben.

  • Deaktivieren Sie die Kerberos Authentifizierung auf einer DB-Instance, indem Sie dies none für die --domain Option angeben.

  • Verschieben Sie eine DB-Instance von einer Domain in eine andere, indem Sie die Domain-ID der neuen Domain für die --domain Option angeben.

Grundlegendes zur Domänenmitgliedschaft

Nachdem Sie Ihre DB-Instance erstellt oder geändert haben, wird sie Mitglied der Domäne. Sie können den Status der Domänenmitgliedschaft in der Konsole oder durch Ausführen des describe-db-instancesBefehls anzeigen. Der Status der DB-Instance kann einer der folgenden sein:

  • kerberos-enabled— Für die DB-Instance ist die Kerberos Authentifizierung aktiviert.

  • enabling-kerberos— AWS ist dabei, die Kerberos Authentifizierung für diese DB-Instance zu aktivieren.

  • pending-enable-kerberos— Die Aktivierung der Kerberos Authentifizierung für diese DB-Instance steht noch aus.

  • pending-maintenance-enable-kerberos— AWS wird versuchen, die Kerberos Authentifizierung auf der DB-Instance während des nächsten geplanten Wartungsfensters zu aktivieren.

  • pending-disable-kerberos— Die Deaktivierung der Kerberos Authentifizierung für diese DB-Instance steht noch aus.

  • pending-maintenance-disable-kerberos— AWS wird versuchen, die Kerberos Authentifizierung auf der DB-Instance während des nächsten geplanten Wartungsfensters zu deaktivieren.

  • enable-kerberos-failed— Aufgrund eines Konfigurationsproblems konnte die AWS Kerberos Authentifizierung auf der DB-Instance nicht aktiviert werden. Korrigieren Sie das Konfigurationsproblem, bevor Sie den Befehl zum Ändern der DB-Instance erneut ausgeben.

  • disabling-kerberos— AWS ist dabei, die Kerberos Authentifizierung für diese DB-Instance zu deaktivieren.

Eine Anfrage zur Aktivierung der Kerberos Authentifizierung kann aufgrund eines Problems mit der Netzwerkkonnektivität oder einer falschen IAM-Rolle fehlschlagen. In einigen Fällen schlägt der Versuch, die Kerberos Authentifizierung zu aktivieren, möglicherweise fehl, wenn Sie eine DB-Instance erstellen oder ändern. Stellen Sie in diesem Fall sicher, dass Sie die richtige IAM-Rolle verwenden, und ändern Sie dann die DB-Instance so, dass sie der Domäne beitritt.