Configurez l'authentification Windows pour Amazon RDS pour Microsoft SQL Server à l'aide de AWS Managed Microsoft AD - Recommandations AWS
RésuméConditions préalables et limitationsArchitectureOutilsBonnes pratiquesÉpopéesRessources connexes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurez l'authentification Windows pour Amazon RDS pour Microsoft SQL Server à l'aide de AWS Managed Microsoft AD

Ramesh Babu Donti, Amazon Web Services

Résumé

Ce modèle montre comment configurer l'authentification Windows pour une instance Amazon Relational Database Service (Amazon RDS) pour les instances de SQL Server à AWS Directory Service for Microsoft Active Directory l'aide AWS Managed Microsoft AD de (). L'authentification Windows permet aux utilisateurs de se connecter à l'instance RDS en utilisant leurs informations d'identification de domaine au lieu de noms d'utilisateur et de mots de passe spécifiques à la base de données.

Vous pouvez activer l'authentification Windows soit lors de la création d'une nouvelle base de données RDS SQL Server, soit en l'ajoutant à une instance de base de données existante. L'instance de base de données s'intègre AWS Managed Microsoft AD pour fournir une authentification et une autorisation centralisées aux utilisateurs du domaine accédant à la base de données SQL Server.

Cette configuration améliore la sécurité en tirant parti de l'infrastructure Active Directory existante et élimine le besoin de gérer des informations d'identification de base de données distinctes pour les utilisateurs du domaine.

Conditions préalables et limitations

Conditions préalables

  • Un actif Compte AWS avec les autorisations appropriées

  • Un cloud privé virtuel (VPC) avec les éléments suivants :

    • Passerelles Internet et tables de routage configurées

    • Passerelles NAT dans les sous-réseaux publics (si un accès Internet est requis pour les instances)

  • Gestion des identités et des accès AWS Rôles (IAM) :

    • Un rôle de domaine avec les politiques AWS gérées suivantes :

      • AmazonSSMManagedInstanceCorepour activer AWS Systems Manager

      • AmazonSSMDirectoryServiceAccesspour fournir des autorisations permettant de joindre des instances à des annuaires

    • Un rôle de surveillance améliorée RDS (si la surveillance améliorée est activée)

  • Groupes de sécurité :

    • Groupe de sécurité du service d'annuaire autorisant les ports de communication Active Directory

    • Un groupe de sécurité Amazon Elastic Compute Cloud (Amazon EC2) pour autoriser les communications RDP 3389 et de domaine

    • Un groupe de sécurité RDS pour autoriser le port SQL Server à 1433 partir de sources autorisées

  • Connectivité réseau :

    • Résolution DNS et connectivité réseau appropriées entre les sous-réseaux

Limites

Architecture

Pile technologique source

  • Un Active Directory sur site ou AWS Managed Microsoft AD

Pile technologique cible

  • Amazon EC2

  • Amazon RDS for Microsoft SQL Server

  • AWS Managed Microsoft AD

Architecture cible

L'architecture inclut les éléments suivants :

  • Rôle IAM qui joint l' EC2 instance Amazon au AWS Managed Microsoft AD domaine.

  • Une instance Amazon EC2 Windows pour l'administration et les tests de bases de données.

  • Un Amazon VPC doté d'un sous-réseau privé pour héberger l'instance Amazon RDS et les ressources internes dans les zones de disponibilité.

  • Groupes de sécurité pour le contrôle d'accès au réseau :

    • Un groupe de sécurité Amazon RDS pour contrôler l'accès entrant au port SQL Server à 1433 partir de sources autorisées.

    • Un groupe EC2 de sécurité Amazon pour gérer l'accès RDP via les ports de communication 3389 des ports et des domaines.

    • Un groupe de sécurité des services d'annuaire pour les communications Active Directory via les ports 53 88389,, et445.

  • AWS Managed Microsoft AD pour fournir des services d'authentification et d'autorisation centralisés pour les ressources Windows.

  • Une instance de base de données Amazon RDS for SQL Server dans le sous-réseau privé avec l'authentification Windows activée.

Outils

Services AWS

  • Amazon Elastic Compute Cloud (Amazon EC2) fournit une capacité de calcul évolutive dans le AWS Cloud. Vous pouvez lancer autant de serveurs virtuels que vous le souhaitez et les augmenter ou les diminuer rapidement.

  • Amazon Relational Database Service (Amazon RDS) vous aide à configurer, exploiter et dimensionner une base de données relationnelle dans le. AWS Cloud

  • AWS Directory Servicepropose plusieurs manières d'utiliser Microsoft Active Directory (AD) avec d'autres, Services AWS comme Amazon Elastic Compute Cloud (Amazon EC2), Amazon Relational Database Service (Amazon RDS) pour SQL Server et FSx Amazon pour Windows File Server.

  • AWS Directory Service for Microsoft Active Directorypermet à vos charges de travail et à vos AWS ressources sensibles aux annuaires d'utiliser Microsoft Active Directory dans le. AWS Cloud

  • Gestion des identités et des accès AWS (IAM) vous aide à gérer en toute sécurité l'accès à vos AWS ressources en contrôlant qui est authentifié et autorisé à les utiliser.

Autres services

Bonnes pratiques

Épopées

Sous-tâcheDescriptionCompétences requises

Configurez le type de répertoire.

  1. À partir du AWS Management Console, naviguez vers AWS Directory Service.

  2. Choisissez Configurer le répertoire.

  3. Sélectionnez AWS Managed Microsoft ADle type de répertoire.

  4. Choisissez Créer un nouveau domaine AD AWS géré, puis cliquez sur Suivant.

DBA, ingénieur DevOps

Configurez les informations du répertoire.

Dans la section Informations du répertoire, entrez les informations requises et conservez les valeurs facultatives :

  1. Sous Édition, sélectionnez une édition qui répond à vos besoins.

  2. Sous Nom DNS du répertoire, entrez un nom de domaine complet (FQDN).

  3. Sous Mot de passe administrateur, définissez un mot de passe pour le compte administrateur, puis choisissez Suivant.

DBA, ingénieur DevOps

Configurez le VPC et les sous-réseaux.

  1. Sous Mise en réseau, sélectionnez un VPC cible (au minimum, vous devez configurer deux sous-réseaux séparément). AWS Zones de disponibilité

  2. Sous Type de réseau, sélectionnez IPv4 uniquement.

  3. Sous Sous-réseaux, sélectionnez deux sous-réseaux privés séparément AWS Zones de disponibilité, puis choisissez Next.

DBA, ingénieur DevOps

Révisez et créez le répertoire.

  1. Vérifiez les valeurs de configuration, puis choisissez Create directory.

  2. Attendez que le statut du répertoire passe à Actif.

DBA, ingénieur DevOps
Sous-tâcheDescriptionCompétences requises

Configurez une AMI pour Windows.

  1. À partir du AWS Management Console, naviguez vers EC2.

  2. Choisissez Launch instance (Lancer une instance).

  3. Sous Nom et balises, entrez un nom et toutes les balises applicables.

  4. Choisissez une Amazon Machine Image (AMI) pour Windows Server qui répond à vos besoins.

  5. Sous Type d'instance, sélectionnez un type de taille appropriée.

  6. Sous Paire de clés (connexion), sélectionnez une paire de clés existante ou créez-en une nouvelle.

DBA, ingénieur DevOps

Configurer les paramètres réseau.

  1. Sous Paramètres réseau, sélectionnez le même VPC que celui utilisé pour. AWS Directory Service

  2. Choisissez un sous-réseau privé.

  3. Sous Pare-feu (groupes de sécurité), créez un groupe qui autorise les communications par port 3389 et domaine RDP.

DBA, ingénieur DevOps

Configurez le stockage.

Configurez les volumes Amazon EBS selon vos besoins.

DBA, ingénieur DevOps

Configurez les détails avancés et lancez l'instance.

  1. Développez la section Détails avancés.

  2. Pour le répertoire de jointure de domaines, sélectionnez le répertoire créé précédemment AWS Managed Microsoft AD.

  3. Pour le profil d'instance IAM, sélectionnez un rôle avec les politiques AmazonSSMManagedInstanceCore etAmazonSSMDirectoryServiceAccess.

  4. Vérifiez toutes les valeurs de configuration, puis choisissez Launch instance.

DBA, ingénieur DevOps
Sous-tâcheDescriptionCompétences requises

Créez une base de données et configurez les options du moteur.

  1. Accédez à la console Aurora et RDS, puis choisissez Create a database.

  2. Sous Options du moteur, sélectionnez Microsoft SQL Server.

  3. Pour Type de gestion de base de données, choisissez Amazon RDS.

  4. Pour Edition, choisissez un SQL Server qui répond à vos besoins.

  5. Pour la version du moteur, choisissez la dernière version prise en charge.

DBA, ingénieur DevOps

Choisir un modèle.

Choisissez un exemple de modèle qui répond à vos exigences.

DBA, ingénieur DevOps

Configurer les paramètres de base de données.

  1. Dans la section Paramètres, sous Identifiant d'instance de base de données, entrez un nom unique.

  2. Sous Nom d'utilisateur principal, configurez les informations d'identification de l'administrateur.

  3. Sous Gestion des informations d'identification, choisissez Managed in AWS Secrets Manager ou Self managed.

DBA, ingénieur DevOps

Configurez l'instance.

Dans la section Configuration de l'instance, sous Classe d'instance de base de données, sélectionnez une taille d'instance qui répond à vos besoins.

DBA, ingénieur DevOps

Configurez le stockage.

  1. Dans la section Stockage, sous Type de stockage, choisissez un type qui répond à vos besoins. Nous recommandons gp3, io1 ou io2.

  2. Définissez les valeurs initiales requises pour le stockage alloué, les IOPS provisionnées et le débit de stockage.

  3. (Facultatif) Développez la section Configuration du stockage supplémentaire et sélectionnez Activer le dimensionnement automatique du stockage.

DBA, ingénieur DevOps

Configurez la connectivité.

  1. Dans la section Connectivité, indiquez si vous souhaitez configurer une connexion à une ressource de calcul pour la base de données.

  2. Pour le VPC, choisissez le même VPC qui possède. AWS Directory Service

  3. Pour le groupe de sous-réseaux de base de données, choisissez un groupe qui couvre plusieurs zones de disponibilité.

  4. Pour un accès public, choisissez Non.

  5. Pour le groupe de sécurité VPC (pare-feu), choisissez un groupe existant ou créez-en un nouveau qui autorise l'accès via le port SQL Server. 1433

  6. Sélectionnez votre zone de disponibilité préférée.

  7. Développez la section Configuration supplémentaire et choisissez si vous souhaitez utiliser un port de base de données personnalisé.

DBA, ingénieur DevOps

Configurez l'authentification Windows.

  1. Dans la section Authentification Microsoft SQL Server Windows, cochez la case Activer l'authentification Microsoft SQL Server Windows.

  2. Pour le type d'authentification Windows, choisissez AWS Managed Microsoft AD.

  3. Pour Répertoire, choisissez Parcourir le répertoire, puis sélectionnez AWS Managed Microsoft AD.

DBA, ingénieur DevOps

Configurez la surveillance.

  1. Dans la section Surveillance, choisissez des informations de base de données standard ou avancées.

  2. Sous Informations sur les performances, cochez la case Activer les informations sur les performances.

  3. Sélectionnez une période de conservation et une AWS KMS clé.

  4. Sous Paramètres de surveillance supplémentaires, cochez la case Surveillance améliorée.

  5. (Facultatif) Sous Exportations du journal, cochez la case Journal des erreurs.

Remarque : Les métriques sont utiles lorsque vous souhaitez voir comment différents processus ou threads utilisent le processeur. Vous pouvez également exporter les journaux d'erreurs vers Amazon CloudWatch si le journal des erreurs est activé.

DBA, ingénieur DevOps

Configurez des paramètres supplémentaires.

  1. Développez la section Configuration supplémentaire.

  2. Pour le groupe de paramètres de base de données et le groupe d'options de base de données, choisissez des valeurs par défaut ou personnalisées.

  3. Définissez votre fuseau horaire préféré.

  4. Pour Collation, définissez une valeur. La valeur par défaut est SQL_Latin1_General_CP1_CI_AS.

  5. Sous Backup :

    • Cochez la case Activer les sauvegardes automatisées. Cela crée un instantané de base de données.

    • Pour la période de conservation des sauvegardes, choisissez le nombre de jours requis.

    • Pour la fenêtre Backup, choisissez une valeur.

    • (Facultatif) Pour la réplication de sauvegarde, choisissez Activer la réplication dans un autre Région AWS.

    • Cochez la case Activer le chiffrement pour chiffrer les instances à l'aide de. AWS KMS

  6. Sous Fenêtre de maintenance, cochez la case Choisir une fenêtre et définissez une heure préférée.

  7. Cochez la case Activer la protection contre la suppression.

DBA, ingénieur DevOps

Passez en revue les coûts et créez une base de données.

Consultez la section Coûts mensuels estimés, puis choisissez Créer une base de données.

DBA, ingénieur DevOps
Sous-tâcheDescriptionCompétences requises

Connect à la machine Windows.

Connectez-vous à votre ordinateur Windows et lancez SQL Server Management Studio.

  1. Utilisez RDP pour vous connecter à votre machine Windows à l'aide AWS Managed Microsoft AD des informations d'identification

  2. Lancez SSMS en saisissant SSMS dans le menu Démarrer, puis sélectionnez SQL Server Management Studio.

DBA, ingénieur DevOps

Configurez la connexion SSMS.

Configurez la connexion à la base de données à l'aide de l'authentification Windows.

  1. Lorsque la boîte de dialogue Connect to server apparaît (ou en accédant à Object Explorer, Connect, Database engine), définissez le type de serveur sur Moteur de base de données.

  2. Entrez le point de terminaison RDS SQL Server (par exemple,your-rds-instance.region.rds.amazonaws.com)

  3. Choisissez l'authentification Windows.

DBA, ingénieur DevOps

Configurez les paramètres de sécurité.

Définissez les paramètres de sécurité requis pour la version 20 ou ultérieure de SSMS.

  1. Dans l'onglet Propriétés de connexion, définissez le chiffrement sur Obligatoire.

  2. Cochez la case Trust server certificate.

  3. Laissez le champ Nom d'hôte dans le champ du certificat vide.

  4. (Facultatif) Définissez le nom de la base de données et ajustez le délai de connexion selon les besoins.

DBA, ingénieur DevOps

Créez un identifiant Windows.

  1. Configurez et testez l'authentification Windows pour les utilisateurs du domaine.

  2. Pour établir une connexion initiale, choisissez Connect.

  3. Dans la fenêtre de requête, exécutez ce qui suit :

CREATE LOGIN [<domainName>\<user_name>] FROM WINDOWS;
GO
DBA, ingénieur DevOps

Testez l'authentification Windows.

  1. Déconnectez-vous de l' EC2 instance Amazon.

  2. Reconnectez-vous à l' EC2 instance à l'aide de vos informations d'identification de domaine.

  3. Lancez SSMS.

  4. Connectez-vous à l'aide de l'authentification Windows.

  5. Vérifiez que la connexion est réussie.

DBA, ingénieur DevOps

Ressources connexes