Menggunakan Kerberos otentikasi untuk Amazon RDS untuk Db2 - Layanan Basis Data Relasional Amazon

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan Kerberos otentikasi untuk Amazon RDS untuk Db2

Anda kini dapat menggunakan autentikasi Kerberos untuk mengautentikasi pengguna saat menghubungi instans basis data Amazon RDS for Db2 Anda. Instans basis data Anda bekerja dengan AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) untuk mengaktifkan autentikasi Kerberos. Ketika pengguna mengautentikasi dengan instans basis data RDS for Db2 yang digabungkan dengan domain tepercaya, permintaan autentikasi diteruskan ke direktori yang Anda buat dengan AWS Directory Service. Untuk informasi lebih lanjut, lihat Apa itu AWS Directory Service? di Panduan Administrasi AWS Directory Service .

Pertama, buat AWS Managed Microsoft AD direktori untuk menyimpan kredensi pengguna. Kemudian, tambahkan domain dan informasi lain dari AWS Managed Microsoft AD direktori Anda ke RDS Anda untuk instans Db2 DB. Ketika pengguna mengautentikasi dengan RDS untuk instans Db2 DB, permintaan otentikasi diteruskan ke direktori. AWS Managed Microsoft AD

Menyimpan semua kredensial Anda di direktori yang sama dapat menghemat waktu dan tenaga Anda. Dengan pendekatan ini, Anda memiliki tempat terpusat guna menyimpan dan mengelola kredensial untuk beberapa instans basis data. Menggunakan direktori juga dapat meningkatkan profil keamanan keseluruhan Anda.

Untuk informasi tentang Kerberos otentikasi, lihat topik berikut.

Ketersediaan wilayah dan versi

Ketersediaan dan dukungan fitur bervariasi di seluruh versi spesifik dari setiap mesin basis data, dan di seluruh Wilayah AWS. Lihat informasi yang lebih lengkap tentang ketersediaan versi dan wilayah RDS for Db2 dengan autentikasi Kerberos di Wilayah dan mesin DB yang Didukung untuk otentikasi Kerberos di Amazon RDS.

catatan

Autentikasi Kerberos tidak didukung untuk kelas instans basis data yang sudah dihentikan untuk instans basis data RDS for Db2. Lihat informasi yang lebih lengkap di Amazon RDS untuk kelas instans Db2.

Ikhtisar autentikasi Kerberos untuk instans basis data RDS for Db2

Untuk menyiapkan autentikasi Kerberos bagi instans basis data RDS for Db2, selesaikan langkah-langkah umum berikut, yang nanti akan dijelaskan lebih terperinci:

  1. Gunakan AWS Managed Microsoft AD untuk membuat AWS Managed Microsoft AD direktori. Anda dapat menggunakan AWS Management Console, the AWS Command Line Interface (AWS CLI), atau AWS Directory Service untuk membuat direktori. Untuk informasi selengkapnya, lihat Membuat AWS Managed Microsoft AD direktori Anda di Panduan AWS Directory Service Administrasi.

  2. Buat peran AWS Identity and Access Management (IAM) yang menggunakan kebijakan IAM terkelola. AmazonRDSDirectoryServiceAccess Peran IAM memungkinkan Amazon RDS melakukan panggilan ke direktori Anda.

    Agar peran IAM mengizinkan akses, titik akhir AWS Security Token Service (AWS STS) harus diaktifkan dengan benar Wilayah AWS untuk Anda. Akun AWS AWS STS endpoint aktif secara default di semua Wilayah AWS, dan Anda dapat menggunakannya tanpa tindakan lebih lanjut. Untuk informasi selengkapnya, lihat Mengaktifkan dan menonaktifkan AWS STS dalam Panduan Pengguna Wilayah AWS IAM.

  3. Buat atau modifikasi RDS untuk instans Db2 DB dengan menggunakan AWS Management Console, API AWS CLI, atau RDS dengan salah satu metode berikut:

    Anda dapat menemukan instans DB di Amazon Virtual Private Cloud (VPC) yang sama dengan direktori atau di VPC yang berbeda. Akun AWS Saat Anda membuat atau mengubah instans basis data RDS for Db2, lakukan tugas-tugas berikut:

    • Sediakan pengidentifikasi domain (pengidentifikasi d-*) yang dihasilkan saat Anda membuat direktori.

    • Beri nama juga peran IAM yang Anda buat.

    • Periksa bahwa grup keamanan instans basis data dapat menerima lalu lintas masuk dari grup keamanan direktori.

  4. Konfigurasikan klien Db2 Anda, dan verifikasi bahwa lalu lintas dapat mengalir antara host klien dan AWS Directory Service untuk port berikut:

    • TCP/UDP port 53 - DNS

    • TCP 88 – autentikasi Kerberos

    • TCP 389 – LDAP

    • TCP 464 – autentikasi Kerberos

Mengelola instans basis data dalam domain

Anda dapat menggunakan AWS Management Console, API AWS CLI, atau RDS untuk mengelola instans DB Anda dan hubungannya dengan AndaMicrosoft Active Directory. Misalnya, Anda dapat mengaitkan Active Directory untuk mengaktifkan autentikasi Kerberos. Anda juga dapat menghapus kaitan untuk Active Directory guna menonaktifkan autentikasi Kerberos. Anda juga dapat memindahkan instans basis data agar diautentikasi secara eksternal oleh satu Microsoft Active Directory ke yang lain.

Misalnya, menjalankan perintah modify-db-instanceCLI, Anda dapat melakukan tindakan berikut:

  • Coba kembali pengaktifan autentikasi Kerberos untuk keanggotaan yang gagal dengan menentukan ID direktori keanggotaan saat ini untuk opsi --domain.

  • Nonaktifkan autentikasi Kerberos pada instans basis data dengan menentukan none opsi --domain.

  • Pindahkan instans basis data dari satu domain ke domain lain dengan menentukan pengidentifikasi domain dari domain baru untuk opsi --domain.

Memahami keanggotaan domain

Setelah Anda membuat atau mengubah instans basis data, instans akan menjadi anggota domain. Anda dapat melihat status keanggotaan domain di konsol atau dengan menjalankan perintah CLI describe-db-instances. Status instans basis data dapat berupa salah satu nilai berikut:

  • kerberos-enabled – Instans basis data telah mengaktifkan autentikasi Kerberos.

  • enabling-kerberos— AWS sedang dalam proses mengaktifkan Kerberos otentikasi pada instans DB ini.

  • pending-enable-kerberos – Pengaktifan autentikasi Kerberos tertunda pada instans basis data ini.

  • pending-maintenance-enable-kerberos— AWS akan mencoba mengaktifkan Kerberos otentikasi pada instans DB selama jendela pemeliharaan terjadwal berikutnya.

  • pending-disable-kerberos – Penonaktifan autentikasi Kerberos tertunda pada instans basis data ini.

  • pending-maintenance-disable-kerberos— AWS akan mencoba menonaktifkan Kerberos otentikasi pada instans DB selama jendela pemeliharaan terjadwal berikutnya.

  • enable-kerberos-failed – Masalah konfigurasi mencegah AWS mengaktifkan autentikasi Kerberos pada instans basis data. Perbaiki masalah konfigurasi sebelum menerbitkan ulang perintah untuk mengubah instans basis data.

  • disabling-kerberos— AWS sedang dalam proses menonaktifkan Kerberos otentikasi pada instans DB ini.

Permintaan untuk mengaktifkan autentikasi Kerberos dapat gagal karena masalah konektivitas jaringan atau peran IAM yang salah. Dalam beberapa kasus, upaya mengaktifkan autentikasi Kerberos mungkin gagal saat Anda membuat atau memodifikasi instans basis data. Jika ini terjadi, periksa bahwa Anda menggunakan peran IAM yang benar, dan lalu ubah instans basis data untuk bergabung dengan domain.