Utilizzo di Active Directory AWS gestita con RDS per SQL Server - Amazon Relational Database Service
Disponibilità di regioni e versioniPanoramica sulla configurazione dell'autenticazione di WindowsRipristino di un'istanza di database e aggiunta a un dominio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di Active Directory AWS gestita con RDS per SQL Server

Puoi utilizzarlo AWS Managed Microsoft AD per autenticare gli utenti con l'autenticazione di Windows quando si connettono alla tua istanza DB di RDS per SQL Server. L'istanza DB funziona con AWS Directory Service for Microsoft Active Directory, chiamata anche AWS Managed Microsoft AD, per abilitare l'autenticazione di Windows. Quando gli utenti eseguono l'autenticazione su un'istanza di database di SQL Server unita al dominio trusting, le richieste di autenticazione vengono inviate alla directory di dominio create con AWS Directory Service.

Disponibilità di regioni e versioni

Amazon RDS supporta l'utilizzo solo AWS Managed Microsoft AD per l'autenticazione di Windows. RDS non supporta l'utilizzo di AD Connector. Per ulteriori informazioni, consulta gli argomenti seguenti:

Per ulteriori informazioni sulla disponibilità di versioni e regioni, consulta Autenticazione Kerberos con Amazon RDS per SQL Server.

Panoramica sulla configurazione dell'autenticazione di Windows

Amazon RDS utilizza la modalità mista per l'autenticazione Windows. In base a questo approccio, l'utente master (il nome e la password utilizzati per creare l'istanza di database SQL Server) utilizza l'autenticazione SQL. Poiché l'account utente master dispone di credenziali privilegiate, è necessario limitare l'accesso a tale account.

Per ottenere l'autenticazione di Windows utilizzando un Microsoft Active Directory in locale o autogestito, crea un trust tra foreste. La fiducia può essere a senso unico o bidirezionale. Per ulteriori informazioni sulla configurazione dei trust forestali utilizzando AWS Directory Service, vedere Quando creare una relazione di trust nella Guida all'AWS Directory Service amministrazione.

Per configurare l'autenticazione di Windows per un'istanza database SQL Server, esegui la procedura riportata di seguito, illustrata in maggiore dettaglio in Configurazione dell'autenticazione di Windows per le istanze di database di SQL Server:

  1. AWS Managed Microsoft AD Utilizzatelo, dall' AWS Directory Service API AWS Management Console o dall'API, per creare una AWS Managed Microsoft AD directory.

  2. Se utilizzi l'API AWS CLI o Amazon RDS per creare la tua istanza DB di SQL Server, crea un ruolo AWS Identity and Access Management (IAM). Questo ruolo utilizza la policy IAM gestita AmazonRDSDirectoryServiceAccess e consente a Amazon RDS di effettuare chiamate alla directory. Se utilizzi la console per creare l'istanza database di SQL Server, AWS crea automaticamente il ruolo IAM.

    Affinché il ruolo consenta l'accesso, l'endpoint AWS Security Token Service (AWS STS) deve essere attivato nella AWS regione del tuo AWS account. AWS STS gli endpoint sono attivi per impostazione predefinita in tutte le AWS regioni e puoi utilizzarli senza ulteriori azioni. Per ulteriori informazioni, consulta la sezione Gestione di AWS STS in una Regione AWS nella Guida per l'utente di IAM.

  3. Crea e configura utenti e gruppi nella AWS Managed Microsoft AD directory utilizzando gli strumenti di Microsoft Active Directory. Per ulteriori informazioni sulla creazione di utenti in Active Directory, consulta Gestione di utenti e gruppi in AWS Managed Microsoft AD nella Guida all’amministrazione di AWS Directory Service .

  4. Se prevedi di localizzare la directory e l'istanza DB in modo diverso VPCs, abilita il traffico cross-VPC.

  5. Usa Amazon RDS per creare una nuova istanza DB di SQL Server dalla console o dall' AWS CLI API Amazon RDS. Nella richiesta di creazione, fornisci l'identificatore di dominio ("d-*") generato durante la creazione della directory e il nome del ruolo creato. Puoi inoltre modificare un'istanza database di SQL Server per utilizzare l'autenticazione di Windows impostando i parametri dominio e ruolo IAM per l'istanza database.

  6. Utilizza le credenziali dell'utente master Amazon RDS per eseguire la connessione all'istanza database di SQL Server analogamente a quanto avviene con qualsiasi altra istanza database. Poiché l'istanza DB è aggiunta al AWS Managed Microsoft AD dominio, è possibile effettuare il provisioning degli accessi e degli utenti di SQL Server dagli utenti e dai gruppi di Active Directory del relativo dominio. (noti come account di accesso "Windows" di SQL Server) Le autorizzazioni per il database vengono gestite tramite le autorizzazioni standard di SQL Server concesse e revocate in base a questi account di accesso Windows.

Quando crei un'istanza DB RDS per SQL Server connessa al dominio utilizzando la console Amazon RDS, crea AWS automaticamente il ruolo IAM. rds-directoryservice-access-role Questo ruolo è essenziale per la gestione delle istanze connesse al dominio ed è necessario per le seguenti operazioni:

  • Apportare modifiche alla configurazione delle istanze di SQL Server connesse al dominio

  • Gestione delle impostazioni di integrazione con Active Directory

  • Esecuzione di operazioni di manutenzione su istanze aggiunte al dominio

Importante

Se elimini il ruolo rds-directoryservice-access-role IAM, non puoi apportare modifiche all'istanza di SQL Server connessa al dominio tramite la console o l'API di Amazon RDS. Il tentativo di modificare l'istanza genera un messaggio di errore che indica: Non hai l'autorizzazione per iam:. CreateRole Per richiedere l'accesso, copia il testo seguente e invialo al tuo AWS amministratore.

Questo errore si verifica perché Amazon RDS deve ricreare il ruolo per gestire la connessione al dominio, ma non dispone delle autorizzazioni necessarie. Inoltre, questo errore non viene registrato, il che può rendere più CloudTrail difficile la risoluzione dei problemi.

Se si elimina accidentalmente il filerds-directoryservice-access-role, è necessario disporre iam:CreateRole delle autorizzazioni per ricrearlo prima di poter apportare modifiche all'istanza di SQL Server connessa al dominio. Per ricreare il ruolo manualmente, assicurati che sia associata la policy AmazonRDSDirectoryServiceAccess gestita e la relazione di trust appropriata che consenta al servizio RDS di assumere il ruolo.

Ripristino di un'istanza di database di SQL Server e aggiunta a un dominio

È possibile ripristinare un'istantanea del DB o eseguire point-in-time il ripristino (PITR) per un'istanza DB di SQL Server e quindi aggiungerla a un dominio. Dopo aver ripristinato l'istanza di database, modificala utilizzando il processo illustrato in Fase 5: creazione o modifica di un'istanza database SQL Server per aggiungere l'istanza a un dominio.