Konfigurieren Sie die Windows-Authentifizierung für Amazon RDS for Microsoft SQL Server mit AWS Managed Microsoft AD - AWS Prescriptive Guidance
ZusammenfassungVoraussetzungen und EinschränkungenArchitekturToolsBest PracticesEpenZugehörige Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfigurieren Sie die Windows-Authentifizierung für Amazon RDS for Microsoft SQL Server mit AWS Managed Microsoft AD

Ramesh Babu Donti, Amazon Web Services

Zusammenfassung

Dieses Muster zeigt, wie die Windows-Authentifizierung für einen Amazon Relational Database Service (Amazon RDS) für SQL Server-Instances mithilfe von AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) konfiguriert wird. Die Windows-Authentifizierung ermöglicht es Benutzern, sich mit ihren Domänenanmeldedaten anstelle von datenbankspezifischen Benutzernamen und Passwörtern mit der RDS-Instance zu verbinden.

Sie können die Windows-Authentifizierung entweder beim Erstellen einer neuen RDS-SQL Server-Datenbank oder durch Hinzufügen zu einer vorhandenen Datenbankinstanz aktivieren. Die Datenbankinstanz lässt sich integrieren AWS Managed Microsoft AD , um eine zentrale Authentifizierung und Autorisierung für Domänenbenutzer bereitzustellen, die auf die SQL Server-Datenbank zugreifen.

Diese Konfiguration erhöht die Sicherheit, indem sie die bestehende Active Directory-Infrastruktur nutzt und die Verwaltung separater Datenbankanmeldeinformationen für Domänenbenutzer überflüssig macht.

Voraussetzungen und Einschränkungen

Voraussetzungen

  • Ein Aktiv AWS-Konto mit den entsprechenden Berechtigungen

  • Eine virtuelle private Cloud (VPC) mit folgenden Funktionen:

    • Konfigurierte Internet-Gateways und Routing-Tabellen

    • NAT-Gateways in öffentlichen Subnetzen (wenn für Instanzen Internetzugang erforderlich ist)

  • AWS Identity and Access Management (IAM) -Rollen:

    • Eine Domänenrolle mit den folgenden AWS verwalteten Richtlinien:

      • AmazonSSMManagedInstanceCoreum zu aktivieren AWS Systems Manager

      • AmazonSSMDirectoryServiceAccessum Berechtigungen zum Verbinden von Instanzen mit Verzeichnissen bereitzustellen

    • Eine erweiterte RDS-Überwachungsrolle (wenn die erweiterte Überwachung aktiviert ist)

  • Sicherheitsgruppen:

    • Sicherheitsgruppe für den Verzeichnisdienst, um Active Directory-Kommunikationsports zuzulassen

    • Eine Amazon Elastic Compute Cloud (Amazon EC2) -Sicherheitsgruppe, die RDP 3389 - und Domain-Kommunikation ermöglicht

    • Eine RDS-Sicherheitsgruppe, die SQL Server-Ports 1433 von autorisierten Quellen zulässt

  • Netzwerk-Konnektivität:

    • Richtige DNS-Auflösung und Netzwerkkonnektivität zwischen Subnetzen

Einschränkungen

Architektur

Quelltechnologie-Stack

  • Ein lokales Active Directory oder AWS Managed Microsoft AD

Zieltechnologie-Stack

  • Amazon EC2

  • Amazon RDS für Microsoft SQL Server

  • AWS Managed Microsoft AD

Zielarchitektur

Die Architektur umfasst Folgendes:

  • Eine IAM-Rolle, die die EC2 Amazon-Instance mit der AWS Managed Microsoft AD Domain verbindet.

  • Eine Amazon EC2 Windows-Instance für Datenbankverwaltung und Tests.

  • Eine Amazon-VPC mit einem privaten Subnetz zum Hosten der Amazon RDS-Instance und interner Ressourcen in Availability Zones.

  • Sicherheitsgruppen für die Netzwerkzugriffskontrolle:

    • Eine Amazon RDS-Sicherheitsgruppe zur Steuerung des eingehenden Zugriffs auf den SQL Server-Port 1433 aus autorisierten Quellen.

    • Eine EC2 Amazon-Sicherheitsgruppe zur Verwaltung des RDP-Zugriffs über Port 3389 - und Domain-Kommunikationsports.

    • Eine Directory Services-Sicherheitsgruppe für die Active Directory-Kommunikation über die Ports 5388,389, und445.

  • AWS Managed Microsoft AD um zentralisierte Authentifizierungs- und Autorisierungsdienste für Windows-Ressourcen bereitzustellen.

  • Eine Amazon RDS for SQL Server Server-Datenbank-Instance im privaten Subnetz mit aktivierter Windows-Authentifizierung.

Tools

AWS-Services

  • Amazon Elastic Compute Cloud (Amazon EC2) bietet skalierbare Rechenkapazität in der AWS Cloud. Sie können so viele virtuelle Server wie nötig nutzen und sie schnell nach oben oder unten skalieren.

  • Amazon Relational Database Service (Amazon RDS) unterstützt Sie bei der Einrichtung, dem Betrieb und der Skalierung einer relationalen Datenbank in der. AWS Cloud

  • AWS Directory Servicebietet mehrere Möglichkeiten, Microsoft Active Directory (AD) mit anderen AWS-Services wie Amazon Elastic Compute Cloud (Amazon EC2), Amazon Relational Database Service (Amazon RDS) für SQL Server und Amazon FSx für Windows File Server zu verwenden.

  • AWS Directory Service for Microsoft Active Directoryermöglicht Ihren verzeichnissensitiven Workloads und AWS Ressourcen die Verwendung von Microsoft Active Directory in der. AWS Cloud

  • AWS Identity and Access Management (IAM) hilft Ihnen dabei, den Zugriff auf Ihre AWS Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden.

Andere Dienste

Best Practices

Epen

AufgabeDescriptionErforderliche Fähigkeiten

Richten Sie den Verzeichnistyp ein.

  1. Navigieren Sie von der AWS-Managementkonsole zu AWS Directory Service.

  2. Wählen Sie Verzeichnis einrichten.

  3. Wählen Sie AWS Managed Microsoft ADden Verzeichnistyp aus.

  4. Wählen Sie Neue AWS verwaltete AD-Domäne erstellen und dann Weiter aus.

DBA, Ingenieur DevOps

Konfigurieren Sie die Verzeichnisinformationen.

Geben Sie im Abschnitt Verzeichnisinformationen die erforderlichen Informationen ein und behalten Sie die optionalen Werte bei:

  1. Wählen Sie unter Edition eine Edition aus, die Ihren Anforderungen entspricht.

  2. Geben Sie unter Verzeichnis-DNS-Name einen vollqualifizierten Domänennamen (FQDN) ein.

  3. Legen Sie unter Admin-Passwort ein Passwort für das Administratorkonto fest, und wählen Sie dann Weiter aus.

DBA, Ingenieur DevOps

Konfigurieren Sie die VPC und die Subnetze.

  1. Wählen Sie unter Netzwerk eine Ziel-VPC aus (mindestens müssen Sie zwei Subnetze getrennt einrichten). AWS Availability Zones

  2. Wählen Sie unter Netzwerktyp die Option Nur aus. IPv4

  3. Wählen Sie unter Subnetze zwei separate private Subnetze aus AWS Availability Zones, und klicken Sie dann auf Weiter.

DBA, Ingenieur DevOps

Überprüfen und erstellen Sie das Verzeichnis.

  1. Überprüfen Sie die Konfigurationswerte und wählen Sie dann Verzeichnis erstellen aus.

  2. Warten Sie, bis sich der Verzeichnisstatus auf Aktiv ändert.

DBA, Ingenieur DevOps
AufgabeDescriptionErforderliche Fähigkeiten

Konfigurieren Sie ein AMI für Windows.

  1. Navigieren Sie von der AWS-Managementkonsole zu EC2.

  2. Wählen Sie Launch Instance (Instance starten) aus.

  3. Geben Sie unter Name und Tags einen Namen und alle zutreffenden Tags ein.

  4. Wählen Sie ein Amazon Machine Image (AMI) für Windows Server, das Ihren Anforderungen entspricht.

  5. Wählen Sie unter Instanztyp einen Typ mit geeigneter Größe aus.

  6. Wählen Sie unter key pair (Anmeldung) ein vorhandenes Schlüsselpaar aus oder erstellen Sie ein neues.

DBA, Ingenieur DevOps

Konfigurieren von Netzwerkeinstellungen.

  1. Wählen Sie unter Netzwerkeinstellungen dieselbe VPC aus, die für AWS Directory Service verwendet wird.

  2. Wählen Sie ein privates Subnetz aus.

  3. Erstellen Sie unter Firewall (Sicherheitsgruppen) eine Gruppe, die die RDP-Port 3389 - und Domänenkommunikation ermöglicht.

DBA, Ingenieur DevOps

Speicher konfigurieren.

Konfigurieren Sie die Amazon EBS-Volumes nach Bedarf.

DBA, Ingenieur DevOps

Konfigurieren Sie erweiterte Details und starten Sie die Instanz.

  1. Erweitern Sie den Abschnitt Erweiterte Details.

  2. Wählen Sie unter Domain Join Directory das zuvor erstellte Verzeichnis aus AWS Managed Microsoft AD.

  3. Wählen Sie für das IAM-Instanzprofil eine Rolle mit den Richtlinien AmazonSSMManagedInstanceCore und AmazonSSMDirectoryServiceAccess aus.

  4. Überprüfen Sie alle Konfigurationswerte und wählen Sie dann Launch instance aus.

DBA, Ingenieur DevOps
AufgabeDescriptionErforderliche Fähigkeiten

Erstellen Sie eine Datenbank und konfigurieren Sie die Engine-Optionen.

  1. Navigieren Sie zur Aurora- und RDS-Konsole und wählen Sie Create a database aus.

  2. Wählen Sie unter Engine-Optionen die Option Microsoft SQL Server aus.

  3. Wählen Sie für Datenbankverwaltungstyp die Option Amazon RDS aus.

  4. Wählen Sie für Edition einen SQL Server aus, der Ihren Anforderungen entspricht.

  5. Wählen Sie für Engine-Version die neueste unterstützte Version aus.

DBA, Ingenieur DevOps

Auswahl einer Vorlage.

Wählen Sie eine Mustervorlage, die Ihren Anforderungen entspricht.

DBA, Ingenieur DevOps

Konfigurieren Sie die Datenbankeinstellungen.

  1. Geben Sie im Abschnitt Einstellungen unter DB-Instance-ID einen eindeutigen Namen ein.

  2. Konfigurieren Sie unter Master-Benutzername die Administratoranmeldedaten.

  3. Wählen Sie unter Verwaltung der Anmeldeinformationen die Option Verwaltet in AWS Secrets Manager oder Selbst verwaltet aus.

DBA, Ingenieur DevOps

Konfigurieren Sie die Instanz.

Wählen Sie im Abschnitt Instanzkonfiguration unter DB-Instance-Klasse eine Instance-Größe aus, die Ihren Anforderungen entspricht.

DBA, Ingenieur DevOps

Speicher konfigurieren.

  1. Wählen Sie im Abschnitt Speicher unter Speichertyp einen Typ aus, der Ihren Anforderungen entspricht. Wir empfehlen entweder gp3, io1 oder io2.

  2. Legen Sie die Anfangswerte nach Bedarf für zugewiesenen Speicher, bereitgestellte IOPS und Speicherdurchsatz fest.

  3. (Optional) Erweitern Sie den Abschnitt Zusätzliche Speicherkonfiguration und wählen Sie Automatische Speicherskalierung aktivieren aus.

DBA, Ingenieur DevOps

Konnektivität konfigurieren.

  1. Wählen Sie im Abschnitt Konnektivität aus, ob Sie eine Verbindung zu einer Rechenressource für die Datenbank einrichten möchten.

  2. Wählen Sie für VPC dieselbe VPC aus, die bereits verwendet wurde. AWS Directory Service

  3. Wählen Sie für DB-Subnetzgruppe eine Gruppe aus, die sich über mehrere Availability Zones erstreckt.

  4. Wählen Sie für öffentlichen Zugriff Nein.

  5. Wählen Sie für VPC-Sicherheitsgruppe (Firewall) eine vorhandene Gruppe aus oder erstellen Sie eine neue Gruppe, die den Zugriff über den SQL Server-Port 1433 ermöglicht.

  6. Wählen Sie Ihre bevorzugte Availability Zone aus.

  7. Erweitern Sie den Abschnitt Zusätzliche Konfiguration und wählen Sie aus, ob Sie einen benutzerdefinierten Datenbankport verwenden möchten.

DBA, Ingenieur DevOps

Konfigurieren Sie die Windows-Authentifizierung.

  1. Aktivieren Sie im Abschnitt Microsoft SQL Server Windows-Authentifizierung das Kontrollkästchen Microsoft SQL Server Windows-Authentifizierung aktivieren.

  2. Wählen Sie als Windows-Authentifizierungstyp AWS Managed Microsoft AD.

  3. Wählen Sie für Verzeichnis die Option Verzeichnis durchsuchen und wählen Sie aus AWS Managed Microsoft AD.

DBA, Ingenieur DevOps

Konfigurieren Sie die Überwachung.

  1. Wählen Sie im Bereich Überwachung entweder Standard oder Advanced Database Insights aus.

  2. Aktivieren Sie unter Performance Insights das Kontrollkästchen Performance Insights aktivieren.

  3. Wählen Sie einen Aufbewahrungszeitraum und einen AWS KMS Schlüssel aus.

  4. Aktivieren Sie unter Zusätzliche Überwachungseinstellungen das Kontrollkästchen Erweiterte Überwachung.

  5. (Optional) Aktivieren Sie unter Protokollexporte das Kontrollkästchen Fehlerprotokoll.

Hinweis: Metriken sind nützlich, wenn Sie sehen möchten, wie verschiedene Prozesse oder Threads die CPU nutzen. Sie können Fehlerprotokolle auch nach Amazon exportieren, CloudWatch wenn das Fehlerprotokoll aktiviert ist.

DBA, Ingenieur DevOps

Konfigurieren Sie zusätzliche Einstellungen.

  1. Erweitern Sie den Abschnitt Zusätzliche Konfiguration.

  2. Wählen Sie für DB-Parametergruppe und DB-Optionsgruppe Standardwerte oder benutzerdefinierte Werte aus.

  3. Stellen Sie Ihre bevorzugte Zeitzone ein.

  4. Geben Sie für Collation einen Wert ein. Der Standardwert ist SQL_Latin1_General_CP1_CI_AS.

  5. Unter Backup:

    • Wählen Sie das Kontrollkästchen Automatisierte Backups aktivieren aus. Dadurch wird ein Datenbank-Snapshot erstellt.

    • Wählen Sie für den Aufbewahrungszeitraum für Backup die erforderliche Anzahl von Tagen aus.

    • Wählen Sie für das Backup-Fenster einen Wert aus.

    • (Optional) Wählen Sie für Backup-Replikation die Option Replizierung in einem anderen aktivieren aus AWS-Region.

    • Aktivieren Sie das Kontrollkästchen Verschlüsselung aktivieren, um Instanzen mit AWS KMS zu verschlüsseln.

  6. Aktivieren Sie unter Wartungsfenster das Kontrollkästchen Fenster auswählen und legen Sie eine bevorzugte Uhrzeit fest.

  7. Markieren Sie das Kontrollkästchen Löschschutz aktivieren.

DBA, Ingenieur DevOps

Überprüfen Sie die Kosten und erstellen Sie eine Datenbank.

Sehen Sie sich den Abschnitt Geschätzte monatliche Kosten an und wählen Sie dann Datenbank erstellen aus.

DBA, Ingenieur DevOps
AufgabeDescriptionErforderliche Fähigkeiten

Connect zum Windows-Computer her.

Connect zu Ihrem Windows-Computer her und starten Sie SQL Server Management Studio.

  1. Verwenden Sie RDP, um mithilfe AWS Managed Microsoft AD von Anmeldeinformationen eine Verbindung zu Ihrem Windows-Computer herzustellen

  2. Starten Sie SSMS, indem Sie im Startmenü SSMS eingeben und SQL Server Management Studio auswählen.

DBA, Ingenieur DevOps

Konfigurieren Sie die SSMS-Verbindung.

Richten Sie die Datenbankverbindung mithilfe der Windows-Authentifizierung ein.

  1. Wenn das Dialogfeld Mit Server verbinden angezeigt wird (oder indem Sie zu Objekt-Explorer, Connect, Datenbankengine navigieren), setzen Sie Servertyp auf Datenbankmodul.

  2. Geben Sie den RDS-SQL-Server-Endpunkt ein (z. B.your-rds-instance.region.rds.amazonaws.com)

  3. Wählen Sie Windows-Authentifizierung.

DBA, Ingenieur DevOps

Konfigurieren Sie Sicherheitseinstellungen.

Stellen Sie die erforderlichen Sicherheitsparameter für SSMS Version 20 oder höher ein.

  1. Stellen Sie auf der Registerkarte Verbindungseigenschaften die Option Verschlüsselung auf Mandatory ein.

  2. Aktivieren Sie das Kontrollkästchen Serverzertifikat vertrauen.

  3. Lassen Sie das Feld Hostname im Zertifikat leer.

  4. (Optional) Legen Sie den Datenbanknamen fest und passen Sie das Verbindungstimeout nach Bedarf an.

DBA, Ingenieur DevOps

Erstellen Sie ein Windows-Login.

  1. Richten Sie die Windows-Authentifizierung für Domänenbenutzer ein und testen Sie sie.

  2. Um eine erste Verbindung herzustellen, wählen Sie Connect.

  3. Führen Sie im Abfragefenster Folgendes aus:

CREATE LOGIN [<domainName>\<user_name>] FROM WINDOWS;
GO
DBA, Ingenieur DevOps

Testen Sie die Windows-Authentifizierung.

  1. Melden Sie sich von der EC2 Amazon-Instance ab.

  2. Melden Sie sich mit Ihren Domain-Anmeldeinformationen wieder bei der EC2 Instance an.

  3. Starten Sie SSMS.

  4. Stellen Sie mithilfe der Windows-Authentifizierung eine Verbindung her.

  5. Stellen Sie sicher, dass die Verbindung erfolgreich ist.

DBA, Ingenieur DevOps

Zugehörige Ressourcen