Mengamankan dan merampingkan akses pengguna dalam database federasi Db2 di AWS dengan menggunakan konteks tepercaya - AWS Prescriptive Guidance
RingkasanPrasyarat dan batasanArsitekturAlatEpikSumber daya terkaitInformasi tambahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengamankan dan merampingkan akses pengguna dalam database federasi Db2 di AWS dengan menggunakan konteks tepercaya

Sai Parthasaradhi, Amazon Web Services

Ringkasan

Banyak perusahaan yang memigrasikan beban kerja mainframe lama mereka ke Amazon Web Services (AWS). Migrasi ini mencakup pemindahan IBM Db2 untuk z/OS database ke Db2 untuk Linux, Unix, dan Windows (LUW) di Amazon Elastic Compute Cloud (Amazon). EC2 Selama migrasi bertahap dari lokasi ke AWS, pengguna mungkin perlu mengakses data di IBM Db2 z/OS dan di Db2 LUW di EC2 Amazon hingga semua aplikasi dan database sepenuhnya dimigrasikan ke Db2 LUW. Dalam skenario akses data jarak jauh seperti itu, otentikasi pengguna dapat menjadi tantangan karena platform yang berbeda menggunakan mekanisme otentikasi yang berbeda.

Pola ini mencakup cara mengatur server federasi pada Db2 untuk LUW dengan Db2 untuk z/OS sebagai database jarak jauh. Pola ini menggunakan konteks tepercaya untuk menyebarkan identitas pengguna dari Db2 LUW ke Db2 z/OS tanpa mengautentikasi ulang pada database jarak jauh. Untuk informasi selengkapnya tentang konteks tepercaya, lihat bagian Informasi tambahan.

Prasyarat dan batasan

Prasyarat

  • Akun AWS yang aktif

  • Instans Db2 yang berjalan pada instans Amazon EC2

  • Db2 jarak jauh untuk z/OS database yang berjalan di tempat

  • Jaringan lokal yang terhubung ke AWS melalui AWS Site-to-SiteVPN atau AWS Direct Connect

Arsitektur

Arsitektur target

Mainframe lokal terhubung melalui server Db2 lokal dan VPN ke Db2 DB aktif. EC2

Alat

Layanan AWS

  • Amazon Elastic Compute Cloud (Amazon EC2) menyediakan kapasitas komputasi yang dapat diskalakan di AWS Cloud. Anda dapat meluncurkan server virtual sebanyak yang Anda butuhkan dan dengan cepat meningkatkannya ke atas atau ke bawah.

  • AWS Site-to-Site VPN membantu Anda meneruskan lalu lintas antar instans yang Anda luncurkan di AWS dan jaringan jarak jauh Anda sendiri.

Alat-alat lainnya

  • db2cli adalah perintah antarmuka baris perintah interaktif Db2 (CLI).

Epik

TugasDeskripsiKeterampilan yang dibutuhkan

Aktifkan federasi pada DB2 LUW DB.

Untuk mengaktifkan federasi pada DB2 LUW, jalankan perintah berikut.

update dbm cfg using federated YES
DBA

Mulai ulang database.

Untuk me-restart database, jalankan perintah berikut.

db2stop force;
db2start;
DBA
TugasDeskripsiKeterampilan yang dibutuhkan

Katalog subsistem Db2 z/OS jarak jauh.

Untuk membuat katalog z/OS database Db2 jarak jauh di Db2 LUW yang berjalan di AWS, gunakan perintah contoh berikut.

catalog TCPIP NODE tcpnode REMOTE mainframehost SERVER mainframeport
DBA

Katalog database jarak jauh.

Untuk membuat katalog database jarak jauh, gunakan perintah contoh berikut.

catalog db dbnam1 as ndbnam1 at node tcpnode
DBA
TugasDeskripsiKeterampilan yang dibutuhkan

Kumpulkan kredensi pengguna untuk database z/OS Db2 jarak jauh.

Sebelum melanjutkan dengan langkah selanjutnya, kumpulkan informasi berikut:

  • Nama z/OS subsistem Db2 — Nama Db2 yang dikatalogkan di LUW dari z/OS langkah sebelumnya (misalnya,) ndbnam1

  • Versi Db2 - z/OS Versi z/OS subsistem Db2 (misalnya,) 12

  • ID z/OS pengguna Db2 — Pengguna dengan hak istimewa BIND, yang diperlukan untuk membuat hanya definisi server (misalnya,) dbuser1

  • z/OS Kata sandi Db2 — Kata sandi untuk dbuser1 (misalnya,) dbpasswd

  • Pengguna z/OS proxy Db2 — ID pengguna proxy, yang akan digunakan untuk membuat koneksi tepercaya (misalnya,) zproxy

  • Kata sandi z/OS proxy Db2 — Kata sandi untuk zproxy pengguna (misalnya,) zproxy

DBA

Buat pembungkus DRDA.

Untuk membuat pembungkus DRDA, jalankan perintah berikut.

CREATE WRAPPER DRDA;
DBA

Buat definisi server.

Untuk membuat definisi server, jalankan perintah contoh berikut.

CREATE SERVER ndbserver
TYPE DB2/ZOS VERSION 12
WRAPPER DRDA
AUTHORIZATION "dbuser1" PASSWORD "dbpasswd" OPTIONS ( DBNAME 'ndbnam1',FED_PROXY_USER 'ZPROXY' );

Dalam definisi ini, FED_PROXY_USER menentukan pengguna proxy yang akan digunakan untuk membangun koneksi tepercaya ke database Db2 z/OS . ID pengguna otorisasi dan kata sandi diperlukan hanya untuk membuat objek server jarak jauh di database Db2 LUW. Mereka tidak akan digunakan nanti selama runtime.

DBA
TugasDeskripsiKeterampilan yang dibutuhkan

Buat pemetaan pengguna untuk pengguna proxy.

Untuk membuat pemetaan pengguna untuk pengguna proxy, jalankan perintah berikut.

CREATE USER MAPPING FOR ZPROXY SERVER ndbserver OPTIONS (REMOTE_AUTHID 'ZPROXY', REMOTE_PASSWORD 'zproxy');
DBA

Buat pemetaan pengguna untuk setiap pengguna di Db2 LUW.

Buat pemetaan pengguna untuk semua pengguna di database Db2 LUW di AWS yang perlu mengakses data jarak jauh melalui pengguna proxy. Untuk membuat pemetaan pengguna, jalankan perintah berikut.

CREATE USER MAPPING FOR PERSON1 SERVER ndbserver OPTIONS (REMOTE_AUTHID 'USERZID', USE_TRUSTED_CONTEXT 'Y');

Pernyataan tersebut menetapkan bahwa pengguna di Db2 LUW (PERSON1) dapat membuat koneksi tepercaya ke database z/OS Db2 jarak jauh (). USE_TRUSTED_CONTEXT 'Y' Setelah koneksi dibuat melalui pengguna proxy, pengguna dapat mengakses data dengan menggunakan ID z/OS pengguna Db2 ()REMOTE_AUTHID 'USERZID'.

DBA
TugasDeskripsiKeterampilan yang dibutuhkan

Buat objek konteks tepercaya.

Untuk membuat objek konteks tepercaya pada z/OS database Db2 jarak jauh, gunakan perintah contoh berikut.

CREATE TRUSTED CONTEXT CTX_LUW_ZOS
BASED UPON CONNECTION USING SYSTEM AUTHID ZPROXY
ATTRIBUTES (
ADDRESS '10.10.10.10'
)
NO DEFAULT ROLE
ENABLE
WITH USE FOR PUBLIC WITHOUT AUTHENTICATION;

Dalam definisi ini, CTX_LUW_ZOS adalah nama arbitrer untuk objek konteks tepercaya. Objek berisi ID pengguna proxy dan alamat IP server dari mana koneksi tepercaya harus berasal. Dalam contoh ini, server database Db2 LUW di AWS. Anda dapat menggunakan nama domain alih-alih alamat IP. Klausul WITH USE FOR PUBLIC WITHOUT AUTHENTICATION ini menunjukkan bahwa mengalihkan ID pengguna pada koneksi tepercaya diperbolehkan untuk setiap ID pengguna. Password tidak perlu disediakan.

DBA

Sumber daya terkait

Informasi tambahan

Konteks tepercaya Db2

Konteks tepercaya adalah objek database Db2 yang mendefinisikan hubungan kepercayaan antara server federasi dan server database jarak jauh. Untuk menentukan hubungan tepercaya, konteks tepercaya menentukan atribut kepercayaan. Ada tiga jenis atribut kepercayaan:

  • ID otorisasi sistem yang membuat permintaan koneksi database awal

  • Alamat IP atau nama domain dari mana koneksi dibuat

  • Pengaturan enkripsi untuk komunikasi data antara server database dan klien database

Koneksi tepercaya dibuat ketika semua atribut permintaan koneksi cocok dengan atribut yang ditentukan dalam objek konteks tepercaya apa pun yang ditentukan di server. Ada dua jenis koneksi tepercaya: implisit dan eksplisit. Setelah koneksi terpercaya implisit dibuat, pengguna mewarisi peran yang tidak tersedia bagi mereka di luar cakupan definisi koneksi tepercaya tersebut. Setelah koneksi tepercaya eksplisit dibuat, pengguna dapat diaktifkan pada koneksi fisik yang sama, dengan atau tanpa otentikasi. Selain itu, pengguna Db2 dapat diberikan peran yang menentukan hak istimewa yang hanya untuk digunakan dalam koneksi tepercaya. Pola ini menggunakan koneksi tepercaya eksplisit.

Konteks tepercaya dalam pola ini

Setelah pola selesai, PERSON1 pada Db2 LUW mengakses data jarak jauh dari Db2 z/OS dengan menggunakan konteks tepercaya federasi. Koneksi untuk PERSON1 dibuat melalui pengguna proxy jika koneksi berasal dari alamat IP atau nama domain yang ditentukan dalam definisi konteks tepercaya. Setelah koneksi dibuat, PERSON1 ID z/OS pengguna Db2 yang sesuai diaktifkan tanpa autentikasi ulang, dan pengguna dapat mengakses data atau objek berdasarkan hak istimewa Db2 yang disiapkan untuk pengguna tersebut.

Manfaat konteks tepercaya federasi

  • Pendekatan ini mempertahankan prinsip hak istimewa terkecil dengan menghilangkan penggunaan ID pengguna umum atau ID aplikasi yang membutuhkan superset dari semua hak istimewa yang diperlukan oleh semua pengguna.

  • Identitas sebenarnya dari pengguna yang melakukan transaksi pada database federasi dan jarak jauh selalu diketahui dan dapat diaudit.

  • Kinerja meningkat karena koneksi fisik digunakan kembali di seluruh pengguna tanpa perlu server federasi untuk mengautentikasi ulang.