Utilizzo dell’autenticazione Kerberos per Amazon RDS per Db2 - Amazon Relational Database Service
Disponibilità di regioni e versioniPanoramica dell’autenticazione Kerberos per istanze databaseGestione di un'istanza database in un dominio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dell’autenticazione Kerberos per Amazon RDS per Db2

Puoi utilizzare l’autenticazione Kerberos per autenticare gli utenti quando si connettono alla tua istanza database Amazon RDS per Db2. In questa configurazione, l'istanza database funziona con AWS Directory Service for Microsoft Active Directory, chiamata anche AWS Managed Microsoft AD. Aggiungi il dominio e altre informazioni della tua directory AWS Managed Microsoft AD all’istanza database RDS per Db2. Quando gli utenti eseguono l’autenticazione in un’istanza database di RDS per Db2 unita al dominio di trust, le richieste di autenticazione vengono inoltrate alla directory AWS Managed Microsoft AD che hai creato con Directory Service.

Mantenere tutte le credenziali nella stessa directory consente di ridurre il tempo e l'impegno. Con questo approccio, è disponibile una posizione centralizzata per archiviare e gestire le credenziali per più istanze database. L'uso di una directory può inoltre migliorare il profilo di sicurezza complessivo.

Puoi inoltre accedere alle credenziali da Microsoft Active Directory on-premise. A tale scopo, crea una relazione di dominio trusting in modo che la directory AWS Managed Microsoft AD consideri attendibile Microsoft Active Directory on-premise. In questo modo, gli utenti possono accedere alle istanze database RDS per Db2 con la stessa esperienza Single Sign-On (SSO) Windows dei carichi di lavoro nella rete on-premises.

Per ulteriori informazioni, consulta Cos'è Directory Service? nella Guida per l'amministrazione di AWS Directory Service.

Per informazioni sull’autenticazione Kerberos, consulta i seguenti argomenti:

Argomenti

Disponibilità di regioni e versioni

Il supporto varia a seconda delle versioni specifiche di ciascun motore di database e a seconda delle Regioni AWS. Per ulteriori informazioni sulla disponibilità delle versioni e Regioni di RDS per Db2 con l’autenticazione Kerberos, consulta Regioni e motori di database supportati per l’autenticazione Kerberos in Amazon RDS.

Nota

L’autenticazione Kerberos non è supportata per classi di istanze database dichiarate obsolete per le istanze database RDS per Db2. Per ulteriori informazioni, consulta Amazon RDS per classi di istanza Db2.

Panoramica dell’autenticazione Kerberos per istanze database RDS per Db2

Per configurare l’autenticazione Kerberos per un’istanza database RDS per Db2, completa i seguenti passaggi generali, descritti in dettaglio più avanti:

  1. Utilizza AWS Managed Microsoft AD per creare una directory AWS Managed Microsoft AD. Per creare la directory puoi utilizzare la Console di gestione AWS, l’AWS Command Line Interface (AWS CLI) o Directory Service. Per ulteriori informazioni, consulta Create your AWS Managed Microsoft AD directory nella Guida di amministrazione di AWS Directory Service.

  2. Creare un ruolo AWS Identity and Access Management (IAM) che utilizza la policy IAM gestita AmazonRDSDirectoryServiceAccess. Il ruolo IAM consente ad Amazon RDS di effettuare chiamate alla tua directory.

    Affinché il ruolo IAM consenta l’accesso, è necessario che l’endpoint AWS Security Token Service (AWS STS) sia attivato nella Regione AWS corretta per l’Account AWS. Gli endpoint AWS STS sono attivi per impostazione predefinita in tutte le Regioni AWS e puoi utilizzarli senza ulteriori interventi. Per ulteriori informazioni, consulta Attivazione e disattivazione di AWS STS in una Regione AWS nella Guida per l’utente di IAM.

  3. Crea o modifica un’istanza database RDS per Db2 utilizzando la Console di gestione AWS, la AWS CLI o l’API RDS con uno dei seguenti metodi:

    Puoi individuare l’istanza database nello stesso cloud privato virtuale (VPC) della directory o in un VPC o Account AWS diverso. Quando crei o modifichi l’istanza database RDS per Db2, esegui le seguenti attività:

    • Specifica l'identificativo del dominio (identificativo d-*) generato al momento della creazione della directory.

    • Specifica anche il nome del ruolo IAM creato.

    • Assicurati che il gruppo di sicurezza dell’istanza database possa ricevere traffico in entrata dal gruppo di sicurezza della directory.

  4. Configura il client Db2 e verifica che il traffico fluisca correttamente tra l’host client e Directory Service per le seguenti porte:

    • Porta TCP/UDP 53 – DNS

    • TCP 88 — autenticazione Kerberos

    • TCP 389 — LDAP

    • TCP 464 — autenticazione Kerberos

Gestione di un'istanza database in un dominio

Puoi utilizzare la Console di gestione AWS, la AWS CLI o l’API RDS per gestire l’istanza database e la relativa relazione con Microsoft Active Directory. Ad esempio, puoi associare una Active Directory per abilitare l’autenticazione Kerberos. Puoi anche rimuovere l’associazione per una Active Directory per disabilitare l’autenticazione Kerberos. Puoi anche spostare un’istanza database affinché venga autenticata esternamente da una Microsoft Active Directory a un’altra.

Ad esempio, il comando CLI modify-db-instance consente di eseguire le seguenti azioni:

  • Tentare nuovamente di abilitare l’autenticazione Kerberos per un’appartenenza non riuscita specificando l’ID della directory dell’appartenenza corrente per l’opzione --domain.

  • Disabilitare l’autenticazione Kerberos su un’istanza database specificando none per l’opzione --domain.

  • Spostare un’istanza database da un dominio a un altro specificando l’identificatore di dominio del nuovo dominio per l’opzione --domain.

Appartenenza al dominio

Quando l'istanza database viene creata o modificata diventa membro del dominio. Puoi visualizzare lo stato dell’appartenenza al dominio nella console o eseguendo il comando describe-db-instances. Lo stato dell'istanza di database può essere uno dei seguenti:

  • kerberos-enabled: l’autenticazione Kerberos è abilitata nell’istanza database.

  • enabling-kerberos: AWS sta abilitando l’autenticazione Kerberos su questa istanza database.

  • pending-enable-kerberos: l’abilitazione dell’autenticazione Kerberos è in sospeso su questa istanza database.

  • pending-maintenance-enable-kerberos: AWS proverà ad abilitare l’autenticazione Kerberos sull’istanza database durante la prossima finestra di manutenzione pianificata.

  • pending-disable-kerberos: la disabilitazione dell’autenticazione Kerberos è in sospeso su questa istanza database.

  • pending-maintenance-disable-kerberos: AWS proverà a disabilitare l’autenticazione Kerberos sull’istanza database durante la prossima finestra di manutenzione pianificata.

  • enable-kerberos-failed: un problema di configurazione ha impedito ad AWS di abilitare l’autenticazione Kerberos sull’istanza database. Correggi il problema di configurazione prima di inviare nuovamente il comando per modificare l’istanza database.

  • disabling-kerberos: AWS sta disabilitando l’autenticazione Kerberos su questa istanza database.

Una richiesta di abilitare l’autenticazione Kerberos potrebbe non andare a buon fine a causa di un problema di connettività di rete o un ruolo IAM non corretto. In alcuni casi, il tentativo di abilitare l’autenticazione Kerberos potrebbe non riuscire quando crei o modifichi un’istanza database. In questo caso, assicurati che sia in uso il ruolo IAM corretto, quindi modifica l’istanza database per l’aggiunta al dominio.