Utilizzo di Active Directory gestito da AWS con RDS per SQL Server - Amazon Relational Database Service
Disponibilità di regioni e versioniPanoramica sulla configurazione dell'autenticazione di WindowsRipristino di un'istanza di database e aggiunta a un dominio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di Active Directory gestito da AWS con RDS per SQL Server

Puoi utilizzare AWS Managed Microsoft AD per autenticare gli utenti con l'autenticazione di Windows quando si connettono all'istanza database RDS per SQL Server. L'istanza database funziona con AWS Directory Service for Microsoft Active Directory, anche noto come AWS Managed Microsoft AD, per permettere l'autenticazione di Windows. Quando gli utenti eseguono l'autenticazione su un'istanza di database di SQL Server unita al dominio trusting, le richieste di autenticazione vengono inviate alla directory di dominio create con Directory Service.

Disponibilità di regioni e versioni

RDS supporta l'utilizzo solo di AWS Managed Microsoft AD per l'autenticazione Windows. RDS non supporta l'utilizzo di AD Connector. Per ulteriori informazioni, consulta gli argomenti seguenti:

Per ulteriori informazioni sulla disponibilità di versioni e regioni, consulta Autenticazione Kerberos con Amazon RDS per SQL Server.

Panoramica sulla configurazione dell'autenticazione di Windows

Amazon RDS utilizza la modalità mista per l'autenticazione Windows. In base a questo approccio, l'utente master (il nome e la password utilizzati per creare l'istanza di database SQL Server) utilizza l'autenticazione SQL. Poiché l'account utente master dispone di credenziali privilegiate, è necessario limitare l'accesso a tale account.

Per ottenere l'autenticazione di Windows utilizzando un Microsoft Active Directory in locale o autogestito, crea un trust tra foreste. La fiducia può essere a senso unico o bidirezionale. Per ulteriori informazioni sulla configurazione di trust tra foreste tramite Directory Service, consulta Quando creare una relazione di trust nella Guida di amministrazione di AWS Directory Service.

Per configurare l'autenticazione di Windows per un'istanza database SQL Server, esegui la procedura riportata di seguito, illustrata in maggiore dettaglio in Configurazione dell'autenticazione di Windows per le istanze di database di SQL Server:

  1. Utilizza AWS Managed Microsoft AD, dalla Console di gestione AWS o dall'API di Directory Service, per creare una directory AWS Managed Microsoft AD.

  2. Se utilizzi AWS CLI o l'API di Amazon RDS per creare l'istanza database di SQL Server, crea un ruolo AWS Identity and Access Management (IAM). Questo ruolo utilizza la policy IAM gestita AmazonRDSDirectoryServiceAccess e consente a Amazon RDS di effettuare chiamate alla directory. Se utilizzi la console per creare l'istanza database di SQL Server, AWS crea automaticamente il ruolo IAM.

    Affinché il ruolo possa permettere l'accesso, l'endpoint AWS Security Token Service (AWS STS) deve essere attivato nella regione AWS per l'account AWS. Gli endpoint AWS STS sono attivi per impostazione predefinita in tutte le regioni AWS e puoi utilizzarli senza ulteriori interventi. Per ulteriori informazioni, consulta la sezione Gestione di AWS STS in una Regione AWS nella Guida per l'utente di IAM.

  3. Crea e configura utenti e gruppi nella directory AWS Managed Microsoft AD utilizzando gli strumenti di Microsoft Active Directory. Per ulteriori informazioni sulla creazione di utenti in Active Directory, consulta Gestione di utenti e gruppi in AWS Managed Microsoft AD nella Guida all’amministrazione di AWS Directory Service.

  4. Se prevedi di individuare la directory e l'istanza database in VPC diversi, abilita il traffico tra VPC.

  5. Utilizza Amazon RDS per creare una nuova istanza database di SQL Server dalla console, dalla AWS CLI o dall'API Amazon RDS. Nella richiesta di creazione, fornisci l'identificatore di dominio ("d-*") generato durante la creazione della directory e il nome del ruolo creato. Puoi inoltre modificare un'istanza database di SQL Server per utilizzare l'autenticazione di Windows impostando i parametri dominio e ruolo IAM per l'istanza database.

  6. Utilizza le credenziali dell'utente master Amazon RDS per eseguire la connessione all'istanza database di SQL Server analogamente a quanto avviene con qualsiasi altra istanza database. Poiché l'istanza database è aggiunta al dominio AWS Managed Microsoft AD, puoi effettuare il provisioning di account di accesso e utenti di SQL Server da utenti e gruppi di Active Directory nel loro dominio (noti come account di accesso "Windows" di SQL Server) Le autorizzazioni per il database vengono gestite tramite le autorizzazioni standard di SQL Server concesse e revocate in base a questi account di accesso Windows.

Quando crei un’istanza database RDS per SQL Server connessa al dominio utilizzando la console Amazon RDS, AWS crea automaticamente il ruolo IAM rds-directoryservice-access-role. Questo ruolo è essenziale per la gestione delle istanze connesse al dominio ed è necessario per le seguenti operazioni:

  • Applicazione di modifiche alla configurazione delle istanze SQL Server connesse al dominio

  • Gestione delle impostazioni di integrazione di Active Directory

  • Esecuzione di operazioni di manutenzione su istanze aggiunte al dominio

Importante

Se si elimina il ruolo IAM rds-directoryservice-access-role, non è possibile apportare modifiche all’istanza SQL Server connessa al dominio tramite la console o l’API Amazon RDS. Il tentativo di modificare l’istanza genera un messaggio di errore che indica: You don’t have permission to iam:CreateRole. Per richiedere l’accesso, copiare il testo e inviarlo all’amministratore AWS.

Questo errore si verifica perché Amazon RDS deve ricreare il ruolo per gestire la connessione del dominio, ma non dispone delle autorizzazioni necessarie. Inoltre, questo errore non viene registrato nei log in CloudTrail, il che può rendere più difficile la risoluzione del problema.

Se si elimina accidentalmente il rds-directoryservice-access-role, è necessario disporre delle autorizzazioni iam:CreateRole per ricrearlo prima di poter apportare modifiche all’istanza SQL Server connessa al dominio. Per ricrearlo manualmente, il ruolo deve essere collegato alla policy gestita AmazonRDSDirectoryServiceAccess e alla relazione di trust appropriata per consentire al servizio RDS di assumere il ruolo.

Ripristino di un'istanza di database di SQL Server e aggiunta a un dominio

Puoi ripristinare una snapshot database o eseguire il ripristino point-in-time (PITR) di un'istanza database di SQL Server e aggiungerla a un dominio. Dopo aver ripristinato l'istanza di database, modificala utilizzando il processo illustrato in Fase 5: creazione o modifica di un'istanza database SQL Server per aggiungere l'istanza a un dominio.