Konfigurasikan otentikasi Windows untuk Amazon RDS untuk Microsoft SQL Server menggunakan AWS Managed Microsoft AD - AWS Prescriptive Guidance
RingkasanPrasyarat dan batasanArsitekturAlatPraktik terbaikEpikSumber daya terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan otentikasi Windows untuk Amazon RDS untuk Microsoft SQL Server menggunakan AWS Managed Microsoft AD

Ramesh Babu Donti, Amazon Web Services

Ringkasan

Pola ini menunjukkan cara mengonfigurasi otentikasi Windows untuk Amazon Relational Database Service (Amazon RDS) untuk instance SQL Server menggunakan (). AWS Directory Service for Microsoft Active Directory AWS Managed Microsoft AD Otentikasi Windows memungkinkan pengguna untuk terhubung ke instance RDS menggunakan kredensyal domain mereka alih-alih nama pengguna dan kata sandi khusus database.

Anda dapat mengaktifkan otentikasi Windows baik saat membuat database RDS SQL Server baru atau dengan menambahkannya ke instance database yang ada. Instance database terintegrasi dengan AWS Managed Microsoft AD untuk menyediakan otentikasi terpusat dan otorisasi bagi pengguna domain yang mengakses database SQL Server.

Konfigurasi ini meningkatkan keamanan dengan memanfaatkan infrastruktur Active Directory yang ada dan menghilangkan kebutuhan untuk mengelola kredensi database terpisah untuk pengguna domain.

Prasyarat dan batasan

Prasyarat

  • Aktif Akun AWS dengan izin yang sesuai

  • Virtual Private Cloud (VPC) dengan berikut ini:

    • Gateway Internet dan tabel rute yang dikonfigurasi

    • Gateway NAT di subnet publik (jika akses internet diperlukan untuk instance)

  • AWS Identity and Access Management Peran (IAM):

    • Peran domain dengan kebijakan AWS terkelola berikut:

      • AmazonSSMManagedInstanceCoreuntuk mengaktifkan AWS Systems Manager

      • AmazonSSMDirectoryServiceAccessuntuk memberikan izin untuk menggabungkan instance ke direktori

    • Peran pemantauan yang ditingkatkan RDS (jika pemantauan yang ditingkatkan diaktifkan)

  • Grup keamanan:

    • Grup keamanan layanan direktori untuk memungkinkan port komunikasi Active Directory

    • Grup keamanan Amazon Elastic Compute Cloud (Amazon EC2) untuk memungkinkan komunikasi RDP 3389 dan domain

    • Grup keamanan RDS untuk mengizinkan port SQL Server 1433 dari sumber resmi

  • Konektivitas jaringan:

    • Resolusi DNS yang tepat dan konektivitas jaringan antar subnet

Batasan

Arsitektur

Tumpukan teknologi sumber

  • Direktori Aktif lokal atau AWS Managed Microsoft AD

Tumpukan teknologi target

  • Amazon EC2

  • Amazon RDS for Microsoft SQL Server

  • AWS Managed Microsoft AD

Arsitektur target

Arsitekturnya meliputi:

  • Peran IAM yang menggabungkan EC2 instans Amazon ke domain. AWS Managed Microsoft AD

  • Instans Amazon EC2 Windows untuk administrasi dan pengujian database.

  • VPC Amazon dengan subnet pribadi untuk meng-host instans Amazon RDS dan sumber daya internal di seluruh Availability Zone.

  • Grup keamanan untuk kontrol akses jaringan:

    • Grup keamanan Amazon RDS untuk mengontrol akses masuk ke port SQL Server 1433 dari sumber resmi.

    • Grup EC2 keamanan Amazon untuk mengelola akses RDP melalui port 3389 dan port komunikasi domain.

    • Grup keamanan Layanan Direktori untuk komunikasi Active Directory melalui port53,88,389, dan445.

  • AWS Managed Microsoft AD untuk menyediakan layanan otentikasi dan otorisasi terpusat untuk sumber daya Windows.

  • Contoh database Amazon RDS for SQL Server di subnet pribadi dengan otentikasi Windows diaktifkan.

Alat

Layanan AWS

  • Amazon Elastic Compute Cloud (Amazon EC2) menyediakan kapasitas komputasi yang dapat diskalakan di. AWS Cloud Anda dapat meluncurkan server virtual sebanyak yang Anda butuhkan dan dengan cepat meningkatkannya ke atas atau ke bawah.

  • Amazon Relational Database Service (Amazon RDS) membantu Anda menyiapkan, mengoperasikan, dan menskalakan database relasional di. AWS Cloud

  • AWS Directory Servicemenyediakan beberapa cara untuk menggunakan Microsoft Active Directory (AD) dengan yang lain Layanan AWS seperti Amazon Elastic Compute Cloud (Amazon EC2), Amazon Relational Database Service (Amazon RDS) untuk SQL Server, dan FSx Amazon untuk Windows File Server.

  • AWS Directory Service for Microsoft Active Directorymemungkinkan beban kerja dan sumber daya yang sadar direktori Anda AWS untuk menggunakan Microsoft Active Directory di file. AWS Cloud

  • AWS Identity and Access Management (IAM) membantu Anda mengelola akses ke AWS sumber daya dengan aman dengan mengontrol siapa yang diautentikasi dan diberi wewenang untuk menggunakannya.

Layanan lainnya

Praktik terbaik

Epik

TugasDeskripsiKeterampilan yang dibutuhkan

Siapkan jenis direktori.

  1. Dari Konsol Manajemen AWS, navigasikan ke AWS Directory Service.

  2. Pilih Siapkan direktori.

  3. Pilih AWS Managed Microsoft ADuntuk jenis direktori.

  4. Pilih Buat domain AD AWS terkelola baru, lalu pilih Berikutnya.

DBA, DevOps insinyur

Konfigurasikan informasi direktori.

Di bagian Informasi direktori, masukkan informasi yang diperlukan, dan simpan nilai opsional:

  1. Di bawah Edisi, pilih edisi yang memenuhi persyaratan Anda.

  2. Di bawah nama DNS Direktori, masukkan nama domain yang sepenuhnya memenuhi syarat (FQDN).

  3. Di bawah Kata sandi admin, tetapkan kata sandi untuk akun administrator, lalu pilih Berikutnya.

DBA, DevOps insinyur

Konfigurasikan VPC dan subnet.

  1. Di bawah Networking, pilih VPC target (minimal, Anda harus mengatur dua subnet secara terpisah). AWS Zona Ketersediaan

  2. Di bawah Jenis jaringan, pilih IPv4 saja.

  3. Di bawah Subnet, pilih dua subnet pribadi secara terpisah AWS Zona Ketersediaan, lalu pilih Berikutnya.

DBA, DevOps insinyur

Tinjau dan buat direktori.

  1. Tinjau nilai konfigurasi, lalu pilih Buat direktori.

  2. Tunggu status direktori berubah menjadi Aktif.

DBA, DevOps insinyur
TugasDeskripsiKeterampilan yang dibutuhkan

Konfigurasikan AMI untuk Windows.

  1. Dari Konsol Manajemen AWS, navigasikan ke EC2.

  2. Pilih Luncurkan instans.

  3. Di bawah Nama dan tag, masukkan nama dan tag apa pun yang berlaku.

  4. Pilih Amazon Machine Image (AMI) untuk Windows Server yang memenuhi kebutuhan Anda.

  5. Di bawah Jenis instans, pilih tipe berukuran tepat.

  6. Di bawah Key pair (login), pilih key pair yang ada atau buat yang baru.

DBA, DevOps insinyur

Mengkonfigurasi pengaturan jaringan.

  1. Di bawah Pengaturan jaringan, pilih VPC yang sama dengan yang digunakan. AWS Directory Service

  2. Pilih subnet pribadi.

  3. Di bawah Firewall (grup keamanan), buat grup yang memungkinkan port RDP 3389 dan komunikasi domain.

DBA, DevOps insinyur

Konfigurasikan penyimpanan.

Konfigurasikan volume Amazon EBS sesuai kebutuhan.

DBA, DevOps insinyur

Konfigurasikan detail lanjutan dan luncurkan instance.

  1. Perluas bagian Detail lanjutan.

  2. Untuk direktori Gabung Domain, pilih yang dibuat sebelumnya AWS Managed Microsoft AD.

  3. Untuk profil instans IAM, pilih peran dengan kebijakan AmazonSSMManagedInstanceCore danAmazonSSMDirectoryServiceAccess.

  4. Tinjau semua nilai konfigurasi, lalu pilih Launch instance.

DBA, DevOps insinyur
TugasDeskripsiKeterampilan yang dibutuhkan

Buat database dan konfigurasikan opsi mesin.

  1. Arahkan ke konsol Aurora dan RDS, dan pilih Buat database.

  2. Di bawah Opsi mesin, pilih Microsoft SQL Server.

  3. Untuk Jenis manajemen basis data, pilih Amazon RDS.

  4. Untuk Edition, pilih SQL Server yang memenuhi kebutuhan Anda.

  5. Untuk versi Engine, pilih versi terbaru yang didukung.

DBA, DevOps insinyur

Pilih templat.

Pilih contoh template yang memenuhi kebutuhan Anda.

DBA, DevOps insinyur

Konfigurasikan pengaturan basis data.

  1. Di bagian Pengaturan di bawah pengidentifikasi instans DB, masukkan nama unik.

  2. Di bawah nama pengguna Master, konfigurasikan kredensyal administrator.

  3. Di bawah Manajemen kredensyal, pilih Dikelola di AWS Secrets Manager atau Dikelola sendiri.

DBA, DevOps insinyur

Konfigurasikan instance.

Di bagian konfigurasi Instans, di bawah kelas instans DB, pilih ukuran instans yang memenuhi persyaratan Anda.

DBA, DevOps insinyur

Konfigurasikan penyimpanan.

  1. Di bagian Penyimpanan, di bawah Jenis penyimpanan, pilih jenis yang memenuhi kebutuhan Anda. Kami merekomendasikan gp3, io1, atau io2.

  2. Tetapkan nilai awal seperti yang diperlukan untuk penyimpanan yang dialokasikan, IOPS yang Disediakan, dan throughput Penyimpanan.

  3. (Opsional) Perluas bagian Konfigurasi penyimpanan tambahan, dan pilih Aktifkan penskalaan otomatis penyimpanan.

DBA, DevOps insinyur

Konfigurasikan konektivitas.

  1. Di bagian Konektivitas, pilih apakah Anda ingin mengatur koneksi ke sumber daya komputasi untuk database.

  2. Untuk VPC, pilih VPC yang sama dengan yang dimiliki. AWS Directory Service

  3. Untuk grup subnet DB, pilih grup yang mencakup beberapa Availability Zone.

  4. Untuk akses publik, pilih No.

  5. Untuk grup keamanan VPC (firewall), pilih grup yang ada atau buat grup baru yang memungkinkan akses melalui port SQL Server. 1433

  6. Pilih Availability Zone pilihan Anda.

  7. Perluas bagian Konfigurasi tambahan, dan pilih apakah Anda ingin menggunakan port database khusus.

DBA, DevOps insinyur

Konfigurasikan otentikasi Windows.

  1. Di bagian otentikasi Microsoft SQL Server Windows, pilih kotak centang Aktifkan otentikasi Microsoft SQL Server Windows.

  2. Untuk jenis otentikasi Windows, pilih AWS Managed Microsoft AD.

  3. Untuk Direktori, pilih Browse directory, dan pilih AWS Managed Microsoft AD.

DBA, DevOps insinyur

Konfigurasikan pemantauan.

  1. Di bagian Pemantauan, pilih wawasan basis data standar atau lanjutan.

  2. Di bawah Wawasan kinerja, pilih kotak centang Aktifkan wawasan kinerja.

  3. Pilih periode dan AWS KMS kunci retensi.

  4. Di bawah Pengaturan pemantauan tambahan, pilih kotak centang Pemantauan yang ditingkatkan.

  5. (Opsional) Di bawah Ekspor log, pilih kotak centang Kesalahan log.

Catatan: Metrik berguna saat Anda ingin melihat bagaimana proses atau utas yang berbeda menggunakan CPU. Anda juga dapat mengekspor log kesalahan ke Amazon CloudWatch jika log kesalahan diaktifkan.

DBA, DevOps insinyur

Konfigurasikan pengaturan tambahan.

  1. Perluas bagian Konfigurasi tambahan.

  2. Untuk grup parameter DB, dan grup opsi DB, pilih nilai default atau kustom.

  3. Tetapkan zona waktu pilihan Anda.

  4. Untuk Collation, tetapkan nilai. Nilai default-nya SQL_Latin1_General_CP1_CI_AS.

  5. Di bawah Backup:

    • Pilih kotak centang Aktifkan pencadangan otomatis. Ini menciptakan snapshot database.

    • Untuk periode retensi Backup, pilih jumlah hari yang diperlukan.

    • Untuk jendela Backup, pilih nilai.

    • (Opsional) Untuk replikasi Backup, pilih Aktifkan replikasi di tempat lain. Wilayah AWS

    • Pilih kotak centang Aktifkan enkripsi untuk mengenkripsi instance menggunakan. AWS KMS

  6. Di bawah jendela Pemeliharaan, pilih kotak centang Pilih jendela, dan atur waktu yang diinginkan.

  7. Pilih kotak centang Aktifkan perlindungan penghapusan.

DBA, DevOps insinyur

Tinjau biaya dan buat database.

Tinjau bagian Perkiraan biaya bulanan, lalu pilih Buat database.

DBA, DevOps insinyur
TugasDeskripsiKeterampilan yang dibutuhkan

Connect ke mesin Windows.

Connect ke mesin Windows Anda dan luncurkan SQL Server Management Studio.

  1. Gunakan RDP untuk terhubung ke mesin Windows Anda menggunakan kredensil AWS Managed Microsoft AD

  2. Luncurkan SSMS dengan memasukkan SSMS di menu Start, dan pilih SQL Server Management Studio.

DBA, DevOps insinyur

Konfigurasikan koneksi SSMS.

Siapkan koneksi database menggunakan otentikasi Windows.

  1. Ketika kotak dialog Connect to server muncul (atau dengan menavigasi ke Object explorer, Connect, mesin Database), atur tipe Server ke mesin Database.

  2. Masukkan titik akhir RDS SQL Server (misalnya,) your-rds-instance.region.rds.amazonaws.com

  3. Pilih otentikasi Windows.

DBA, DevOps insinyur

Konfigurasikan pengaturan keamanan.

Tetapkan parameter keamanan yang diperlukan untuk SSMS versi 20 atau yang lebih baru.

  1. Di tab Properti koneksi, atur Enkripsi ke Wajib.

  2. Pilih kotak centang Trust server certificate.

  3. Biarkan nama Host di bidang sertifikat kosong.

  4. (Opsional) Atur nama database dan sesuaikan batas waktu koneksi sesuai kebutuhan.

DBA, DevOps insinyur

Buat login Windows.

  1. Siapkan dan uji otentikasi Windows untuk pengguna domain.

  2. Untuk membuat koneksi awal, pilih Connect.

  3. Di jendela kueri, jalankan yang berikut ini:

CREATE LOGIN [<domainName>\<user_name>] FROM WINDOWS;
GO
DBA, DevOps insinyur

Uji otentikasi Windows.

  1. Keluar dari EC2 instans Amazon.

  2. Masuk kembali ke EC2 instance menggunakan kredensi domain Anda.

  3. Luncurkan SSMS.

  4. Connect menggunakan Windows Authentication.

  5. Verifikasi bahwa koneksi berhasil.

DBA, DevOps insinyur

Sumber daya terkait