Disponibilité des régions et des versions Présentation de l’authentification Kerberos pour les instances de bases de données Gestion d’une instance de base de données dans un domaine

Utilisation de l’authentification Kerberos pour Amazon RDS for Db2

Vous pouvez désormais utiliser l’authentification Kerberos pour authentifier les utilisateurs lorsqu’ils se connectent à votre instance de base de données Amazon RDS for Db2. Dans cette configuration, votre instance de base de données fonctionne avec AWS Directory Service for Microsoft Active Directory, également appelée AWS Managed Microsoft AD. Vous ajoutez le domaine et les autres informations de votre AWS Managed Microsoft AD répertoire à votre instance de base de données RDS pour DB2. Lorsque les utilisateurs s'authentifient auprès d'une instance de base de données RDS pour DB2 jointe au domaine de confiance, les demandes d'authentification sont transmises au AWS Managed Microsoft AD répertoire que vous avez créé avec. Directory Service

Vous pouvez gagner du temps et de l'argent en conservant toutes les informations d'identification dans le même annuaire. Cette approche vous permet d'avoir un endroit centralisé de stockage et de gestion des informations d'identification pour plusieurs instances de base de données. L’utilisation d’un annuaire peut également améliorer votre profil de sécurité global.

Vous pouvez également accéder aux informations d’identification à partir de votre propre annuaire Microsoft Active Directory sur site. Pour ce faire, vous créez une relation de domaine d’approbation afin que l’annuaire AWS Managed Microsoft AD approuve votre annuaire Microsoft Active Directory sur site. De cette façon, vos utilisateurs peuvent accéder à vos instances de base de données RDS for Db2 avec la même expérience d’authentification unique (SSO) Windows que lorsqu’ils accèdent aux charges de travail de votre réseau sur site.

Pour plus d'informations, voir Qu'est-ce que c'est Directory Service ? dans le Guide AWS Directory Service d'administration.

Pour plus d’informations sur l’authentification Kerberos, consultez les rubriques suivantes :

Rubriques

Disponibilité des régions et des versions

La disponibilité et la prise en charge des fonctionnalités varient selon les versions spécifiques de chaque moteur de base de données, et selon les Régions AWS. Pour plus d’informations sur la disponibilité des versions et des régions de RDS for Db2 avec l’authentification Kerberos, consultez Régions et moteurs de base de données pris en charge pour l’authentification Kerberos dans Amazon RDS.

Note

L’authentification Kerberos n’est pas prise en charge pour les classes d’instance de base de données qui sont obsolètes pour les instances de base de données RDS for Db2. Pour plus d’informations, consultez Classes d’instance Amazon RDS for Db2.

Présentation de l’authentification Kerberos pour les instances de bases de données RDS for Db2

Pour configurer l’authentification Kerberos pour une instance de base de données RDS for Db2, effectuez les étapes générales suivantes, décrites plus en détails par la suite :

AWS Managed Microsoft AD À utiliser pour créer un AWS Managed Microsoft AD répertoire. Vous pouvez utiliser le AWS Management Console, le AWS Command Line Interface (AWS CLI) ou Directory Service pour créer le répertoire. Pour plus d'informations, consultez la section Création de votre AWS Managed Microsoft AD répertoire dans le Guide d'AWS Directory Service administration.
Créez un rôle AWS Identity and Access Management (IAM) qui utilise la politique IAM gérée. AmazonRDSDirectoryServiceAccess Le rôle IAM autorise Amazon RDS à effectuer des appels vers votre annuaire.

Pour que le rôle IAM autorise l'accès, le point de terminaison AWS Security Token Service (AWS STS) doit être activé correctement Région AWS pour votre Compte AWS. AWS STS les points de terminaison sont actifs par défaut dans tous les cas Régions AWS, et vous pouvez les utiliser sans autre action. Pour plus d'informations, consultez la section Activation et désactivation AWS STS dans et Région AWS dans le guide de l'utilisateur IAM.
Créez ou modifiez une instance de base de données RDS pour DB2 à l'aide de l' AWS Management Console API RDS ou de l'API RDS selon l'une des méthodes suivantes : AWS CLI
- Créez une nouvelle instance de base de données RDS pour DB2 à l'aide de la console, de la create-db-instancecommande ou de l'opération Create DBInstance API. Pour obtenir des instructions, veuillez consulter Création d'une instance de base de données Amazon RDS.
- Modifiez une instance de base de données RDS for Db2 à l’aide de la console, de la commande modify-db-instance ou de l’opération d’API ModifyDBInstance. Pour obtenir des instructions, consultez Modification d'une instance de base de données Amazon RDS.
- Restaurez une instance de base de données RDS for Db2 à partir d’un instantané de base de données à l’aide de la console, de la commande restore-db-instance-from-db-snapshot ou de l’opération d’API RestoreDBInstanceFromDBSnapshot. Pour obtenir des instructions, veuillez consulter Restauration d’une instance de base de données.
- Restaurez une instance de base de données RDS pour DB2 à point-in-time l'aide de la console, de la restore-db-instance-to-point-in-timecommande ou de l'opération RestoreDBInstanceToPointInTimeAPI. Pour obtenir des instructions, veuillez consulter Restauration d’une instance de base de données à un instant précis pour Amazon RDS.
Vous pouvez localiser l'instance de base de données dans le même Amazon Virtual Private Cloud (VPC) que le répertoire ou dans un autre VPC. Compte AWS Lors de la création ou de la modification de l’instance de base de données RDS for Db2, procédez comme suit :
- Fournissez l’identifiant du domaine (identifiant d-*) qui a été généré lors de la création de votre annuaire.
- Fournissez le nom du rôle IAM que vous avez créé.
- Veillez à ce que le groupe de sécurité de l’instance de base de données puisse recevoir le trafic entrant depuis le groupe de sécurité de l’annuaire.
Configurez votre client DB2 et vérifiez que le trafic peut circuler entre l'hôte du client et Directory Service pour les ports suivants :
- TCP/UDP port 53 : DNS
- TCP 88 — authentification Kerberos
- TCP 389 : LDAP
- TCP 464 — authentification Kerberos

Gestion d’une instance de base de données dans un domaine

Vous pouvez utiliser l'API AWS Management Console AWS CLI, la ou l'API RDS pour gérer votre instance de base de données et sa relation avec votreMicrosoft Active Directory. Par exemple, vous pouvez associer un annuaire Active Directory de façon à activer l’authentification Kerberos. Vous pouvez également supprimer l’association d’un annuaire Active Directory pour désactiver l’authentification Kerberos. Vous pouvez également transférer une instance de base de données vers une autre afin qu’elle soit authentifiée en externe par un Microsoft Active Directory.

Par exemple, en exécutant la commande de l’interface de ligne de commande (CLI) modify-db-instance, vous pouvez effectuer les actions suivantes :

Retenter l’activation de l’authentification Kerberos en cas d’échec d’appartenance en spécifiant l’ID d’annuaire d’appartenance actuel pour l’option --domain.
Désactiver l’authentification Kerberos sur une instance de base de données en spécifiant none pour l’option --domain.
Transférer une instance de base de données d’un domaine vers un autre en spécifiant l’identifiant du nouveau domaine pour l’option --domain.

Présentation de l’appartenance au domaine

Après la création ou la modification de votre instance de base de données, elle devient un membre du domaine. Vous pouvez consulter le statut de l’appartenance au domaine dans la console ou en exécutant la commande describe-db-instances. Le statut de l’instance de base de données peut avoir les valeurs suivantes :

kerberos-enabled : l’instance de base de données a l’authentification Kerberos activée.
enabling-kerberos— AWS est en train d'activer l'Kerberosauthentification sur cette instance de base de données.
pending-enable-kerberos : l’activation de l’authentification Kerberos est en attente sur cette instance de base de données.
pending-maintenance-enable-kerberos— AWS tentera d'activer Kerberos l'authentification sur l'instance de base de données lors de la prochaine fenêtre de maintenance planifiée.
pending-disable-kerberos : la désactivation de l’authentification Kerberos est en attente sur cette instance de base de données.
pending-maintenance-disable-kerberos— AWS tentera de désactiver Kerberos l'authentification sur l'instance de base de données lors de la prochaine fenêtre de maintenance planifiée.
enable-kerberos-failed : un problème de configuration a empêché AWS d’activer l’authentification Kerberos sur l’instance de base de données. Corrigez le problème de configuration avant de réémettre la commande de modification de l’instance de base de données.
disabling-kerberos— AWS est en train de désactiver l'Kerberosauthentification sur cette instance de base de données.

Une demande d’activation de l’authentification Kerberos peut échouer à cause d’un problème de connectivité réseau ou d’un rôle IAM incorrect. Dans certains cas, la tentative d’activation de l’authentification Kerberos peut échouer lorsque vous créez ou modifiez une instance de base de données. Si tel est le cas, vérifiez que vous utilisez le rôle IAM correct, puis modifiez l’instance de base de données afin qu’elle soit attachée au domaine.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Chiffrement avec SSL/TLS

Configuration de l’authentification Kerberos