Utilisation d’AWS Managed Active Directory avec RDS for SQL Server - Amazon Relational Database Service
Disponibilité des régions et des versionsPrésentation de la configuration de l'authentification WindowsRestauration d'une instance de base de données et ajout de cette instance à un domaine

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d’AWS Managed Active Directory avec RDS for SQL Server

Vous pouvez utiliser AWS Managed Microsoft AD pour authentifier les utilisateurs avec l'authentification Windows lorsqu'ils se connectent à votre instance de base de données RDS for SQL Server. L'instance de base de données utilise AWS Directory Service for Microsoft Active Directory, également appelé AWS Managed Microsoft AD, pour activer l'authentification Windows. Lorsque les utilisateurs s'authentifient à une instance de base de données SQL Server jointe au domaine d'approbation, les demandes d'authentification sont transmises à l'annuaire de domaine que vous créez avec Directory Service.

Disponibilité des régions et des versions

Amazon RDS prend en charge uniquement l'utilisation de AWS Managed Microsoft AD pour l'authentification Windows. RDS ne prend pas en charge l'utilisation AD Connector. Pour plus d’informations, consultez les ressources suivantes :

Pour obtenir des informations sur la disponibilité des versions, consultez Authentification Kerberos avec RDS for SQL Server.

Présentation de la configuration de l'authentification Windows

Amazon RDS utilise le mode mixte pour l'authentification Windows. Cette approche signifie que l'utilisateur principal (nom et mot de passe utilisés pour créer votre instance de base de données SQL Server) utilise l'authentification SQL. Étant donné que le compte utilisateur principal comporte des informations d'identification privilégiées, vous devez limiter l'accès à ce compte.

Pour obtenir l'authentification Windows à l'aide d'un compte Microsoft Active Directory sur site ou auto-géré, créez une approbation de forêt. L'approbation peut être unidirectionnelle ou bidirectionnelle. Pour plus d’informations sur la configuration des approbations de forêt avec Directory Service, consultez Quand créer une relation d’approbation dans le Guide d’administration AWS Directory Service.

Pour configurer l’authentification Windows pour une instance de base de données SQL Server, procédez comme suit. Les étapes sont expliquées de façon plus détaillée dans Configuration de l'authentification Windows pour les instances de base de données SQL Server :

  1. Utilisez AWS Managed Microsoft AD, à partir de l'AWS Management Console ou de l'API Directory Service, pour créer un répertoire AWS Managed Microsoft AD.

  2. Si vous utilisez l'AWS CLI ou l'API Amazon RDS pour créer votre instance de base de données SQL Server, créez un rôle AWS Identity and Access Management (IAM). Ce rôle utilise la stratégie IAM gérée AmazonRDSDirectoryServiceAccess et autorise Amazon RDS à effectuer des appels vers votre annuaire. Si vous utilisez la console pour créer votre instance de base de données SQL Server, AWS crée le rôle IAM pour vous.

    Pour que le rôle autorise l'accès, le point de terminaison AWS Security Token Service (AWS STS) doit être activé dans la région AWS pour votre compte AWS. Les points de terminaison AWS STS sont actifs par défaut dans toutes les régions AWS et vous pouvez les utiliser sans qu'aucune autre action soit nécessaire. Pour plus d’informations, consultez la section Gestion de AWS STS dans une Région AWS dans le Guide de l’utilisateur IAM.

  3. Créez et configurez des utilisateurs et des groupes dans l'annuaire AWS Managed Microsoft AD à l'aide des outils Microsoft Active Directory. Pour plus d'informations sur la création d'utilisateurs et de groupes dans votre Active Directory, consultez Gérer les utilisateurs et les groupes dans AWS Managed Microsoft AD dans le Guide d'administration AWS Directory Service.

  4. Si vous prévoyez de localiser le répertoire et l'instance de base de données dans différents VPC, activez le trafic entre VPC.

  5. Utilisez Amazon RDS pour créer une instance de base de données SQL Server à partir de la console, de l'AWS CLI ou de l'API Amazon RDS. Dans la demande de création, vous indiquez l'identifiant du domaine (identifiant « d-* ») généré lors de la création de votre annuaire, ainsi que le nom du rôle que vous avez créé. Vous pouvez également modifier une instance de base de données SQL Server pour qu'elle utilise l'authentification Windows en configurant les paramètres de domaine et de rôle IAM de l'instance de base de données.

  6. Utilisez les informations d’identification de l’utilisateur principal Amazon RDS pour vous connecter à l’instance de base de données SQL Server de la même manière qu’à n’importe quelle instance de base de données. Étant donné que l'instance de base de données est jointe au domaine AWS Managed Microsoft AD, vous pouvez allouer les connexions et utilisateurs SQL Server à partir des utilisateurs et groupes Active Directory dans leur domaine. (Ceux-ci sont connus sous le nom de connexions SQL Server « Windows ».) Les autorisations pour la base de données sont gérées via des autorisations SQL Server standard accordées et révoquées en fonction des connexions Windows.

Lorsque vous créez une instance de base de données RDS for SQL Server connectée à un domaine à l’aide de la console Amazon RDS, le rôle IAM AWS est automatiquement créé rds-directoryservice-access-role. Ce rôle est essentiel pour gérer les instances connectées au domaine et est requis pour les opérations suivantes :

  • Apporter des modifications de configuration aux instances SQL Server connectées à un domaine

  • Gestion des paramètres de l’intégration d’Active Directory

  • Réalisation d’opérations de maintenance sur des instances jointes à un domaine

Important

Si vous supprimez le rôle IAM rds-directoryservice-access-role, vous ne pouvez pas apporter de modifications à votre instance SQL Server connectée au domaine via la console ou l’API Amazon RDS. Toute tentative de modification de l’instance entraîne l’affichage d’un message d’erreur indiquant : Vous n’avez pas l’autorisation iam:CreateRole. Pour demander l’accès, copiez le texte suivant et envoyez-le à votre administrateur AWS.

Cette erreur se produit, car Amazon RDS doit recréer le rôle pour gérer la connexion au domaine, mais ne dispose pas des autorisations nécessaires. En outre, cette erreur n’est pas journalisée dans CloudTrail, ce qui peut compliquer la résolution des problèmes.

Si vous le supprimez accidentellement rds-directoryservice-access-role, vous devez avoir les autorisations iam:CreateRole pour le recréer avant de pouvoir apporter des modifications à votre instance SQL Server connectée au domaine. Pour recréer le rôle manuellement, assurez-vous qu’il est associé à la politique gérée AmazonRDSDirectoryServiceAccess et à la relation de confiance appropriée permettant au service RDS d’assumer le rôle.

Restauration d'une instance de base de données SQL Server puis ajout de cette instance à un domaine

Vous pouvez restaurer un instantané de base de données ou effectuer une reprise ponctuelle (PITR) pour une instance de base de données SQL Server, puis l’ajouter à un domaine. Une fois que l'instance de base de données est restaurée, modifiez l'instance à l'aide du processus expliqué dans Étape 5 : Créer ou modifier une instance de base de données SQL Server afin d'ajouter l'instance de base de données à un domaine.