Utilisation de Kerberos l'authentification pour Amazon RDS pour Db2 - Amazon Relational Database Service
Disponibilité des régions et des versionsVue d'ensemble de l'Kerberosauthentification pour les instances de base de donnéesGestion d'une instance de base de données dans un domaine

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de Kerberos l'authentification pour Amazon RDS pour Db2

Vous pouvez utiliser l'Kerberosauthentification pour authentifier les utilisateurs lorsqu'ils se connectent à votre instance de base de données Amazon RDS pour DB2. Votre instance de base de données fonctionne avec AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) pour activer Kerberos l'authentification. Lorsque les utilisateurs s'authentifient auprès d'une instance de base de données RDS pour DB2 jointe au domaine de confiance, les demandes d'authentification sont transmises au répertoire avec lequel vous créez. AWS Directory Service Pour plus d'informations, consultez Qu'est-ce qu' AWS Directory Service ? dans le Guide de l'utilisateur AWS Directory Service .

Créez d'abord un AWS Managed Microsoft AD répertoire pour stocker les informations d'identification des utilisateurs. Ajoutez ensuite le domaine et les autres informations de votre AWS Managed Microsoft AD répertoire à votre instance de base de données RDS pour DB2. Lorsque les utilisateurs s'authentifient auprès de l'instance de base de données RDS pour DB2, les demandes d'authentification sont transmises à l'annuaire. AWS Managed Microsoft AD

Vous pouvez gagner du temps et de l'argent en conservant toutes les informations d'identification dans le même annuaire. Cette approche vous permet d'avoir un endroit centralisé de stockage et de gestion des informations d'identification pour plusieurs instances de base de données. L'utilisation d'un annuaire peut également améliorer votre profil de sécurité global.

Pour plus d'informations sur Kerberos l'authentification, consultez les rubriques suivantes.

Rubriques

Disponibilité des régions et des versions

La disponibilité et la prise en charge des fonctionnalités varient selon les versions spécifiques de chaque moteur de base de données, et selon les Régions AWS. Pour plus d'informations sur la disponibilité des versions et des régions de RDS pour DB2 avec Kerberos authentification, consultez. Régions et moteurs de base de données pris en charge pour l'authentification Kerberos dans Amazon RDS

Note

Kerberosl'authentification n'est pas prise en charge pour les classes d'instances de base de données déconseillées pour RDS pour les instances de base de données DB2. Pour de plus amples informations, veuillez consulter Amazon RDS pour les classes d'instance DB2.

Vue d'ensemble de l'Kerberosauthentification pour les instances de base de données RDS pour DB2

Pour configurer Kerberos l'authentification pour une instance de base de données RDS pour DB2, effectuez les étapes générales suivantes, décrites plus en détail ultérieurement :

  1. AWS Managed Microsoft AD À utiliser pour créer un AWS Managed Microsoft AD répertoire. Vous pouvez utiliser le AWS Management Console, le AWS Command Line Interface (AWS CLI) ou AWS Directory Service pour créer le répertoire. Pour plus d'informations, consultez la section Création de votre AWS Managed Microsoft AD répertoire dans le Guide d'AWS Directory Service administration.

  2. Créez un rôle AWS Identity and Access Management (IAM) qui utilise la politique IAM gérée. AmazonRDSDirectoryServiceAccess Le rôle IAM permet à Amazon RDS de passer des appels vers votre annuaire.

    Pour que le rôle IAM autorise l'accès, le point de terminaison AWS Security Token Service (AWS STS) doit être activé correctement Région AWS pour votre Compte AWS. AWS STS les points de terminaison sont actifs par défaut dans tous les cas Régions AWS, et vous pouvez les utiliser sans autre action. Pour plus d'informations, consultez la section Activation et désactivation AWS STS dans et Région AWS dans le guide de l'utilisateur IAM.

  3. Créez ou modifiez une instance de base de données RDS pour DB2 à l'aide de l' AWS Management Console API RDS ou de l'API RDS selon l'une des méthodes suivantes : AWS CLI

    Vous pouvez localiser l'instance de base de données dans le même Amazon Virtual Private Cloud (VPC) que le répertoire ou dans un autre VPC. Compte AWS Lorsque vous créez ou modifiez l'instance de base de données RDS pour DB2, effectuez les tâches suivantes :

    • Fournissez l'identifiant du domaine (identifiant d-*) qui a été généré lors de la création de votre annuaire.

    • Fournissez le nom du rôle IAM que vous avez créé.

    • Vérifiez que le groupe de sécurité de l'instance de base de données peut recevoir du trafic entrant en provenance du groupe de sécurité de l'annuaire.

  4. Configurez votre client DB2 et vérifiez que le trafic peut circuler entre l'hôte du client et AWS Directory Service pour les ports suivants :

    • Port TCP/UDP 53 — DNS

    • TCP 88 — authentification Kerberos

    • TCP 389 — LDAP

    • TCP 464 — authentification Kerberos

Gestion d'une instance de base de données dans un domaine

Vous pouvez utiliser l'API AWS Management Console AWS CLI, la ou l'API RDS pour gérer votre instance de base de données et sa relation avec votreMicrosoft Active Directory. Par exemple, vous pouvez associer un Active Directory pour activer Kerberos l'authentification. Vous pouvez également supprimer l'association pour désactiver ou Active Directory désactiver Kerberos l'authentification. Vous pouvez également déplacer une instance de base de données pour qu'elle soit authentifiée de manière externe par l'une Microsoft Active Directory vers l'autre.

Par exemple, en exécutant la commande modify-db-instanceCLI, vous pouvez effectuer les actions suivantes :

  • Réessayez Kerberos d'activer l'authentification en cas d'échec d'une adhésion en spécifiant l'ID de répertoire de l'adhésion actuelle pour l'--domainoption.

  • Désactivez Kerberos l'authentification sur une instance de base de données none en spécifiant l'--domainoption.

  • Déplacez une instance de base de données d'un domaine à un autre en spécifiant l'identifiant de domaine du nouveau domaine pour l'--domainoption.

Présentation de l'appartenance au domaine

Après la création ou la modification de votre instance de base de données, elle devient un membre du domaine. Vous pouvez consulter l'état de l'appartenance au domaine dans la console ou en exécutant la describe-db-instancescommande. Le statut de l'instance de base de données peut avoir les valeurs suivantes :

  • kerberos-enabled— L'Kerberosauthentification est activée sur l'instance de base de données.

  • enabling-kerberos— AWS est en train d'activer l'Kerberosauthentification sur cette instance de base de données.

  • pending-enable-kerberos— Kerberos L'activation de l'authentification est en attente sur cette instance de base de données.

  • pending-maintenance-enable-kerberos— AWS tentera d'activer Kerberos l'authentification sur l'instance de base de données lors de la prochaine fenêtre de maintenance planifiée.

  • pending-disable-kerberos— La désactivation de Kerberos l'authentification est en attente sur cette instance de base de données.

  • pending-maintenance-disable-kerberos— AWS tentera de désactiver Kerberos l'authentification sur l'instance de base de données lors de la prochaine fenêtre de maintenance planifiée.

  • enable-kerberos-failed— Un problème de configuration a AWS empêché l'activation de Kerberos l'authentification sur l'instance de base de données. Corrigez le problème de configuration avant de réémettre la commande pour modifier l'instance de base de données.

  • disabling-kerberos— AWS est en train de désactiver l'Kerberosauthentification sur cette instance de base de données.

Une demande d'activation de Kerberos l'authentification peut échouer en raison d'un problème de connectivité réseau ou d'un rôle IAM incorrect. Dans certains cas, la tentative d'activation de Kerberos l'authentification peut échouer lorsque vous créez ou modifiez une instance de base de données. Dans ce cas, vérifiez que vous utilisez le rôle IAM approprié, puis modifiez l'instance de base de données pour qu'elle rejoigne le domaine.