Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo Kerberos dell'autenticazione per Amazon RDS for Db2
Puoi utilizzare l'Kerberosautenticazione per autenticare gli utenti quando si connettono alla tua istanza database Amazon RDS for Db2. In questa configurazione, l'istanza DB funziona con AWS Directory Service for Microsoft Active Directory, chiamato anche. AWS Managed Microsoft AD Aggiungi il dominio e altre informazioni della tua AWS Managed Microsoft AD directory all'istanza DB RDS for Db2. Quando gli utenti si autenticano con un'istanza DB RDS for Db2 aggiunta al dominio trusting, le richieste di autenticazione vengono inoltrate alla directory con cui è stata creata. AWS Managed Microsoft AD AWS Directory Service
Mantenere tutte le credenziali nella stessa directory consente di ridurre il tempo e l'impegno. Con questo approccio, è disponibile una posizione centralizzata per archiviare e gestire le credenziali per più istanze database. L'uso di una directory può inoltre migliorare il profilo di sicurezza complessivo.
Puoi inoltre accedere alle credenziali da Microsoft Active Directory on-premise. A tale scopo, crea una relazione di dominio trusting in modo che la directory AWS Managed Microsoft AD consideri attendibile Microsoft Active Directory on-premise. In questo modo, gli utenti possono accedere alle istanze DB di RDS per Db2 con la stessa esperienza Windows Single Sign-On (SSO) di quando accedono ai carichi di lavoro nella rete locale.
Per ulteriori informazioni, consulta What is? AWS Directory Service nella Guida all'AWS Directory Service amministrazione.
Per informazioni sull'Kerberosautenticazione, consulta i seguenti argomenti:
Argomenti
Disponibilità di regioni e versioni
Il supporto varia a seconda delle versioni specifiche di ciascun motore di database e a seconda delle Regioni AWS. Per ulteriori informazioni sulla versione e sulla disponibilità regionale di RDS per Db2 con Kerberos autenticazione, vedere. Regioni e motori DB supportati per l'autenticazione Kerberos in Amazon RDS
Nota
Kerberosl'autenticazione non è supportata per le classi di istanze DB che sono obsolete per le istanze DB RDS per Db2. Per ulteriori informazioni, consulta Amazon RDS per classi di istanze Db2.
Panoramica dell'Kerberosautenticazione per RDS per istanze DB Db2
Per configurare Kerberos l'autenticazione per un'istanza DB RDS for Db2, completa i seguenti passaggi generali, descritti più dettagliatamente in seguito:
-
Utilizzare AWS Managed Microsoft AD per creare una AWS Managed Microsoft AD directory. È possibile utilizzare il AWS Management Console, the AWS Command Line Interface (AWS CLI) o AWS Directory Service per creare la directory. Per ulteriori informazioni, consulta Create your AWS Managed Microsoft AD directory nella AWS Directory Service Administration Guide.
-
Crea un ruolo AWS Identity and Access Management (IAM) che utilizzi la policy IAM gestita
AmazonRDSDirectoryServiceAccess. Il ruolo IAM consente ad Amazon RDS di effettuare chiamate alla tua directory.Affinché il ruolo IAM consenta l'accesso, l'endpoint AWS Security Token Service (AWS STS) deve essere attivato nel modo corretto Regione AWS per te. Account AWS AWS STS Gli endpoint sono tutti Regioni AWS attivi per impostazione predefinita e puoi utilizzarli senza ulteriori azioni. Per ulteriori informazioni, consulta Attivazione e disattivazione AWS STSRegione AWS in un capitolo della IAM User Guide.
-
Crea o modifica un'istanza DB RDS for Db2 utilizzando l' AWS Management Console API RDS o RDS con uno dei seguenti metodi: AWS CLI
-
Crea una nuova istanza DB RDS for Db2 utilizzando la console, il create-db-instancecomando o l'operazione Create API. DBInstance Per istruzioni, consultare Creazione di un'istanza database Amazon RDS.
-
Modifica un'istanza DB RDS for Db2 esistente utilizzando la console, il modify-db-instancecomando o l'operazione API. ModifyDBInstance Per istruzioni, consultare Modifica di un'istanza Amazon RDS DB.
-
Ripristina un'istanza DB RDS for Db2 da un'istantanea DB utilizzando la console, il restore-db-instance-from-db-snapshotcomando o l'operazione API. RestoreDBInstanceFromDBSnapshot Per istruzioni, consultare Ripristino su un'istanza DB.
-
Ripristina un'istanza DB RDS for Db2 point-in-time utilizzando la console, il restore-db-instance-to-point-in-timecomando o l'operazione API. RestoreDBInstanceToPointInTime Per istruzioni, consultare Ripristino di un'istanza DB a un'ora specificata per Amazon RDS.
Puoi localizzare l'istanza DB nello stesso Amazon Virtual Private Cloud (VPC) della directory o in un altro VPC. Account AWS Quando crei o modifichi l'istanza DB RDS for Db2, esegui le seguenti attività:
-
Specifica l'identificativo del dominio (identificativo
d-*) generato al momento della creazione della directory. -
Specifica anche il nome del ruolo IAM creato.
-
Verifica che il gruppo di sicurezza dell'istanza DB possa ricevere traffico in entrata dal gruppo di sicurezza della directory.
-
-
Configura il tuo client Db2 e verifica che il traffico possa fluire tra l'host del client e AWS Directory Service le seguenti porte:
-
Porta TCP/UDP 53 — DNS
-
TCP 88 Kerberos — autenticazione
-
TCP 389 — LDAP
-
TCP 464 — autenticazione Kerberos
-
Gestione di un'istanza database in un dominio
Puoi utilizzare la AWS Management Console, la o l' AWS CLI API RDS per gestire la tua istanza DB e la sua relazione con la tua. Microsoft Active Directory Ad esempio, puoi associare un file Active Directory per abilitare Kerberos l'autenticazione. È inoltre possibile rimuovere l'associazione per Active Directory disabilitare Kerberos l'autenticazione. È inoltre possibile spostare un'istanza DB in modo che venga autenticata esternamente da una all'altraMicrosoft Active Directory.
Ad esempio, eseguendo il comando modify-db-instanceCLI, è possibile eseguire le seguenti azioni:
Riprova ad abilitare Kerberos l'autenticazione per un'iscrizione non riuscita specificando l'ID di directory dell'appartenenza corrente per l'opzione.
--domain-
Disabilita Kerberos l'autenticazione su un'istanza DB specificando
nonel'opzione.--domain -
Sposta un'istanza DB da un dominio all'altro specificando l'identificatore di dominio del nuovo dominio per l'opzione.
--domain
Appartenenza al dominio
Quando l'istanza database viene creata o modificata diventa membro del dominio. È possibile visualizzare lo stato dell'appartenenza al dominio nella console o eseguendo il describe-db-instancescomando. Lo stato dell'istanza di database può essere uno dei seguenti:
-
kerberos-enabled— L'istanza DB ha Kerberos l'autenticazione abilitata. -
enabling-kerberos— AWS sta abilitando Kerberos l'autenticazione su questa istanza DB. -
pending-enable-kerberos— Kerberos L'abilitazione dell'autenticazione è in sospeso su questa istanza DB. -
pending-maintenance-enable-kerberos— AWS tenterà di abilitare Kerberos l'autenticazione sull'istanza DB durante la successiva finestra di manutenzione programmata. -
pending-disable-kerberos— La disabilitazione Kerberos dell'autenticazione è in sospeso su questa istanza DB. -
pending-maintenance-disable-kerberos— AWS tenterà di disabilitare Kerberos l'autenticazione sull'istanza DB durante la successiva finestra di manutenzione programmata. -
enable-kerberos-failed— Un problema di configurazione ha AWS impedito Kerberos l'attivazione dell'autenticazione sull'istanza DB. Correggere il problema di configurazione prima di emettere nuovamente il comando per modificare l'istanza DB. -
disabling-kerberos— AWS sta disabilitando l'Kerberosautenticazione su questa istanza DB.
Una richiesta di abilitazione dell'Kerberosautenticazione può fallire a causa di un problema di connettività di rete o di un ruolo IAM errato. In alcuni casi, il tentativo di abilitare Kerberos l'autenticazione potrebbe fallire quando si crea o si modifica un'istanza DB. In tal caso, verifica di utilizzare il ruolo IAM corretto, quindi modifica l'istanza DB per aggiungerla al dominio.
