Configure la autenticación de Windows para Amazon RDS for Microsoft SQL Server mediante AWS Managed Microsoft AD - Recomendaciones de AWS
ResumenRequisitos previos y limitacionesArquitecturaTools (Herramientas)Prácticas recomendadasEpicsRecursos relacionados

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configure la autenticación de Windows para Amazon RDS for Microsoft SQL Server mediante AWS Managed Microsoft AD

Ramesh Babu Donti, Amazon Web Services

Resumen

Este patrón muestra cómo configurar la autenticación de Windows para un Amazon Relational Database Service (Amazon RDS) para instancias de SQL Server AWS Directory Service for Microsoft Active Directory mediante AWS Managed Microsoft AD(). La autenticación de Windows permite a los usuarios conectarse a la instancia de RDS mediante sus credenciales de dominio en lugar de tener que usar nombres de usuario y contraseñas específicos de la base de datos.

Puede habilitar la autenticación de Windows al crear una nueva base de datos de SQL Server de RDS o al agregarla a una instancia de base de datos existente. La instancia de base de datos se integra AWS Managed Microsoft AD para proporcionar autenticación y autorización centralizadas a los usuarios del dominio que acceden a la base de datos de SQL Server.

Esta configuración mejora la seguridad, ya que aprovecha la infraestructura de Active Directory existente y elimina la necesidad de administrar credenciales de bases de datos independientes para los usuarios del dominio.

Requisitos previos y limitaciones

Requisitos previos 

  • Un activo Cuenta de AWS con los permisos adecuados

  • Cree una nube privada virtual (VPC) con lo siguiente:

    • Tablas de enrutamiento y puertas de enlace de Internet configuradas

    • Puertas de enlace NAT en subredes públicas (si las instancias requieren acceso a Internet)

  • AWS Identity and Access Management Funciones (IAM):

    • Un rol de dominio con las siguientes políticas AWS administradas:

      • AmazonSSMManagedInstanceCorepara habilitar AWS Systems Manager

      • AmazonSSMDirectoryServiceAccess para proporcionar permisos para unir instancias a directorios

    • Un rol de supervisión mejorado de RDS (si la supervisión mejorada está habilitada)

  • Grupos de seguridad:

    • grupo de seguridad del servicio de directorio para permitir los puertos de comunicación de Active Directory

    • Un grupo de seguridad de Amazon Elastic Compute Cloud (Amazon EC2) para permitir las comunicaciones RDP 3389 y de dominio

    • Un grupo de seguridad de RDS para permitir la portabilidad 1433 de SQL Server desde orígenes autorizados

  • Conectividad de red:

    • Resolución de DNS y conectividad de red adecuadas entre subredes

Limitaciones

  • Para obtener información sobre Regiones de AWS ese soporte AWS Managed Microsoft AD con RDS para SQL Server, consulte Disponibilidad regional y de versiones.

  • Algunas Servicios de AWS no están disponibles en todos Regiones de AWS. Para conocer la disponibilidad de las regiones, consulte Servicios de AWS by Region. Para los puntos de conexión específicos, consulte la página Service endpoints and quotas y elija el enlace del servicio.

Arquitectura

Pila de tecnología de origen

  • Un Active Directory local o AWS Managed Microsoft AD

Pila de tecnología de destino

  • Amazon EC2

  • Amazon RDS for Microsoft SQL Server

  • AWS Managed Microsoft AD

Arquitectura de destino

La arquitectura incluye lo siguiente:

  • Un rol de IAM que une la EC2 instancia de Amazon al AWS Managed Microsoft AD dominio.

  • Una instancia de Amazon EC2 Windows para la administración y las pruebas de bases de datos.

  • Una instancia de Amazon VPC con una subred privada para alojar la instancia de Amazon RDS y los recursos internos en todas las zonas de disponibilidad.

  • Grupos de seguridad para el control del acceso a la red:

    • Un grupo de seguridad de Amazon RDS para controlar el acceso entrante al puerto 1433 de SQL Server desde orígenes autorizados.

    • Un grupo EC2 de seguridad de Amazon para gestionar el acceso RDP a través de los puertos de comunicación de puertos 3389 y dominios.

    • Un grupo de seguridad del servicio de directorio para las comunicaciones de Active Directory a través de los puertos 53, 88, 389 y 445.

  • AWS Managed Microsoft AD para proporcionar servicios centralizados de autenticación y autorización para los recursos de Windows.

  • Una instancia de base de datos de Amazon RDS para SQL Server en la subred privada con la autenticación de Windows habilitada.

Tools (Herramientas)

Servicios de AWS

  • Amazon Elastic Compute Cloud (Amazon EC2) proporciona una capacidad informática escalable en el Nube de AWS. Puede lanzar tantos servidores virtuales como necesite y escalarlos o reducirlos con rapidez.

  • Amazon Relational Database Service (Amazon RDS) lo ayuda a configurar, utilizar y escalar una base de datos relacional en la Nube de AWS.

  • AWS Directory Serviceproporciona varias formas de utilizar Microsoft Active Directory (AD) con otras, Servicios de AWS como Amazon Elastic Compute Cloud (Amazon EC2), Amazon Relational Database Service (Amazon RDS) para SQL Server y FSx Amazon para Windows File Server.

  • AWS Directory Service for Microsoft Active Directorypermite que sus cargas de trabajo y AWS recursos compatibles con directorios utilicen Microsoft Active Directory en. Nube de AWS

  • AWS Identity and Access Management (IAM) le ayuda a administrar de forma segura el acceso a sus AWS recursos al controlar quién está autenticado y autorizado a usarlos.

Otros servicios

Prácticas recomendadas

Epics

TareaDescripciónHabilidades requeridas

Configure el tipo de directorio.

  1. Desde el Consola de administración de AWS, navegue hasta. AWS Directory Service

  2. Elija Configurar directorio.

  3. Seleccione AWS Managed Microsoft AD para el tipo de directorio.

  4. Selecciona Crear un nuevo dominio de AD AWS administrado y, a continuación, selecciona Siguiente.

DBA, ingeniero DevOps

Configure la información del directorio.

En la sección de información del directorio, introduzca la información necesaria y conserve los valores opcionales:

  1. En Edición, seleccione una edición que se adapte a sus necesidades.

  2. En Nombre DNS del directorio, introduzca un nombre de dominio completo (FQDN).

  3. En Contraseña de administrador, establezca una contraseña para la cuenta de administrador y, a continuación, seleccione Siguiente.

DBA, ingeniero DevOps

Configure la VPC y las subredes.

  1. En Redes, seleccione una VPC de destino (como mínimo, debe configurar dos subredes separadas). Zonas de disponibilidad de AWS

  2. En Tipo de red, selecciona Solo. IPv4

  3. En Subredes, seleccione dos subredes privadas separadas y Zonas de disponibilidad de AWS, a continuación, elija Siguiente.

DBA, ingeniero DevOps

Revise y cree el directorio.

  1. Revise los valores de configuración y luego elija Crear directorio.

  2. Espere a que el estado del directorio cambie a Activo.

DBA, ingeniero DevOps
TareaDescripciónHabilidades requeridas

Configure una AMI para Windows.

  1. Desde Consola de administración de AWS, navegue hasta EC2.

  2. Seleccione Iniciar instancia.

  3. En Nombre y etiquetas, introduzca un nombre y cualquier etiqueta aplicable.

  4. Elija una Imagen de máquina de Amazon (AMI) para Windows Server que cumpla con sus requisitos.

  5. En Tipo de instancia, seleccione un tipo de tamaño adecuado.

  6. En Par de claves (inicio de sesión), seleccione un par de claves existente o cree uno nuevo.

DBA, ingeniero DevOps

Configure los valores de red.

  1. En Configuración de red, selecciona la misma VPC que se utiliza en AWS Directory Service.

  2. Elija una subred privada.

  3. En Firewall (grupos de seguridad), cree un grupo que permita las comunicaciones entre el puerto 3389 y dominios de RDP.

DBA, ingeniero DevOps

Configure el almacenamiento

Configure los volúmenes de Amazon EBS según sea necesario.

DBA, ingeniero DevOps

Configure los detalles avanzados y lance la instancia.

  1. Amplíe la sección Detalles avanzados.

  2. En el directorio de unión a dominios, seleccione el creado AWS Managed Microsoft AD anteriormente.

  3. En el perfil de instancia de IAM, seleccione un rol con las políticas AmazonSSMManagedInstanceCore y AmazonSSMDirectoryServiceAccess.

  4. Revise todos los valores de configuración y, luego, seleccione Iniciar instancia.

DBA, ingeniero DevOps
TareaDescripciónHabilidades requeridas

Cree una base de datos y configure las opciones del motor.

  1. Vaya a la consola de Aurora y RDS y elija Crear una base de datos.

  2. En Opciones del motor, elija Microsoft SQL Server.

  3. En Tipo de administración de base de datos, elija Amazon RDS Custom.

  4. En Edición, elija una instancia de SQL Server que cumpla con sus requisitos.

  5. En Versión del motor, elija la última versión compatible.

DBA, ingeniero DevOps

Elija una plantilla.

Elija una plantilla de muestra que se adapte a sus necesidades.

DBA, ingeniero DevOps

Configure los ajustes de base de datos.

  1. En la sección Configuración, introduzca un nombre único para el identificador de instancias de bases de datos.

  2. En Nombre de usuario principal, configure las credenciales de administrador.

  3. En Administración de credenciales, elija Administradas en AWS Secrets Manager o Autoadministradas.

DBA, ingeniero DevOps

Configurar la instancia

En la sección Configuración de instancias, en Clase de instancia de base de datos, seleccione un tamaño de instancia que cumpla sus requisitos.

DBA, ingeniero DevOps

Configure el almacenamiento

  1. En la sección Almacenamiento, en Tipo de almacenamiento, elija un tipo que cumpla sus requisitos. Recomendamos que use gp3, io1 o io2.

  2. Establezca los valores iniciales necesarios para el almacenamiento asignado, las IOPS aprovisionadas y el rendimiento del almacenamiento.

  3. (Opcional) Amplíe la sección de configuración de almacenamiento adicional y seleccione Habilitar el escalado automático del almacenamiento.

DBA, ingeniero DevOps

Configure la conectividad.

  1. En la sección Conectividad, decida si desea establecer una conexión a un recurso informático para la base de datos.

  2. Para la VPC, elija la misma VPC que tiene. AWS Directory Service

  3. En el grupo de subredes de base de datos, elija un grupo que abarque varias zonas de disponibilidad.

  4. En el acceso público, elija No.

  5. En el grupo de seguridad de VPC (firewall), elija un grupo existente o cree uno nuevo que permita el acceso a través del puerto 1433 de SQL Server.

  6. Seleccione la zona de disponibilidad que prefiera.

  7. Amplíe la sección Configuración adicional y decida si desea utilizar un puerto de base de datos personalizado.

DBA, ingeniero DevOps

Configure la autenticación de Windows.

  1. En la sección de autenticación de Windows de Microsoft SQL Server, active la casilla Habilitar la autenticación de Windows de Microsoft SQL Server.

  2. En el tipo de autenticación de Windows, elija AWS Managed Microsoft AD.

  3. En Directorio, elija Examinar directorio y seleccione AWS Managed Microsoft AD.

DBA, ingeniero DevOps

Configure la supervisión

  1. En la sección Supervisión, elija información de base de datos estándar o avanzada.

  2. En Información de rendimiento, active la casilla Habilitar la información de rendimiento.

  3. Seleccione un período de retención y una AWS KMS clave.

  4. En Configuración de supervisión adicional, seleccione la casilla Supervisión mejorada.

  5. (Opcional) En Exportaciones de registros, selecciona la casilla Registro de errores.

Nota: Las métricas son útiles cuando desea ver cómo diferentes procesos o subprocesos usan la CPU. También puedes exportar los registros de errores a Amazon CloudWatch si el registro de errores está activado.

DBA, ingeniero DevOps

Configure los ajustes adicionales.

  1. Amplíe la sección Configuración adicional.

  2. En el grupo de parámetros de base de datos y el grupo de opciones de base de datos, elija valores predeterminados o personalizados.

  3. Establezca la zona horaria que prefiera.

  4. En Intercalación, establezca un valor. El valor predeterminado es SQL_Latin1_General_CP1_CI_AS.

  5. En Copia de seguridad:

    • Seleccione la casilla Habilitar copias de seguridad automatizadas. Esto crea una instantánea de la base de datos.

    • En el período de retención de copias de seguridad, elija el número de días requerido.

    • En la ventana de copias de seguridad, seleccione un valor.

    • (Opcional) En la replicación de copias de seguridad, elija Habilitar replicación en otra Región de AWS.

    • Seleccione la casilla de verificación Habilitar el cifrado para cifrar las instancias mediante. AWS KMS

  6. En la ventana de mantenimiento, seleccione la casilla de verificación Elegir una ventana y establezca una hora preferida.

  7. Seleccione la casilla Habilitar la protección contra borrado.

DBA, ingeniero DevOps

Revise los costos y cree una base de datos.

Revise la sección de costos mensuales estimados y, a continuación, elija Crear base de datos.

DBA, ingeniero DevOps
TareaDescripciónHabilidades requeridas

Conéctese a la máquina de Windows.

Conéctese a su máquina de Windows e inicie SQL Server Management Studio.

  1. Utilice RDP para conectarse a su máquina Windows mediante credenciales AWS Managed Microsoft AD

  2. Para iniciar SSMS, introduzca SSMS en el menú Inicio y seleccione SQL Server Management Studio.

DBA, ingeniero DevOps

Configure la conexión SSMS.

Configure la conexión a la base de datos mediante la autenticación de Windows.

  1. Cuando aparezca el cuadro de diálogo Conectar al servidor (o al ir a Explorador de objetos, Conectar o Motor de base de datos), defina el tipo de servidor como Motor de base de datos.

  2. Introduzca el punto de conexión de RDS SQL Server (por ejemplo, your-rds-instance.region.rds.amazonaws.com).

  3. Seleccione Autenticación de Windows.

DBA, ingeniero DevOps

Configurar configuración de seguridad.

Establezca los parámetros de seguridad necesarios para la versión 20 o posterior de SSMS.

  1. En la pestaña Propiedades de la conexión, establezca el cifrado como Obligatorio.

  2. Seleccione la casilla de verificación Certificado de servidor de confianza.

  3. Deje en blanco el campo Nombre de host en el certificado.

  4. (Opcional) Establezca el nombre de la base de datos y ajuste el tiempo de espera de la conexión según sea necesario.

DBA, ingeniero DevOps

Cree un inicio de sesión de Windows.

  1. Configure y pruebe la autenticación de Windows para los usuarios del dominio.

  2. Para establecer una conexión inicial, elija Conectar.

  3. En la ventana de consulta, ejecute lo siguiente:

CREATE LOGIN [<domainName>\<user_name>] FROM WINDOWS;
GO
DBA, ingeniero DevOps

Pruebe la autenticación de Windows

  1. Cierra sesión en la EC2 instancia de Amazon.

  2. Vuelva a iniciar sesión en la EC2 instancia con las credenciales de su dominio.

  3. Inicie SSMS.

  4. Conéctese mediante la autenticación de Windows.

  5. Compruebe que la conexión se realizó correctamente.

DBA, ingeniero DevOps

Recursos relacionados