Configurare l'autenticazione Windows per Amazon RDS for Microsoft SQL Server utilizzando AWS Managed Microsoft AD - Prontuario AWS
RiepilogoPrerequisiti e limitazioniArchitectureTools (Strumenti)Best practiceEpicheRisorse correlate

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Configurare l'autenticazione Windows per Amazon RDS for Microsoft SQL Server utilizzando AWS Managed Microsoft AD

Ramesh Babu Donti, Amazon Web Services

Riepilogo

Questo modello mostra come configurare l'autenticazione Windows per un Amazon Relational Database Service (Amazon RDS) per istanze AWS Directory Service for Microsoft Active Directory di SQL Server utilizzando ().AWS Managed Microsoft AD L'autenticazione Windows consente agli utenti di connettersi all'istanza RDS utilizzando le proprie credenziali di dominio anziché nomi utente e password specifici del database.

È possibile abilitare l'autenticazione di Windows durante la creazione di un nuovo database RDS SQL Server o aggiungendolo a un'istanza di database esistente. L'istanza del database si integra con AWS Managed Microsoft AD per fornire autenticazione e autorizzazione centralizzate per gli utenti del dominio che accedono al database SQL Server.

Questa configurazione migliora la sicurezza sfruttando l'infrastruttura Active Directory esistente ed elimina la necessità di gestire credenziali di database separate per gli utenti del dominio.

Prerequisiti e limitazioni

Prerequisiti

  • Un attivo Account AWS con le autorizzazioni appropriate

  • Un cloud privato virtuale (VPC) con quanto segue:

    • Gateway Internet e tabelle di routing configurati

    • Gateway NAT nelle sottoreti pubbliche (se per alcune istanze è richiesto l'accesso a Internet)

  • AWS Identity and Access Management Ruoli (IAM):

    • Un ruolo di dominio con le seguenti politiche AWS gestite:

      • AmazonSSMManagedInstanceCoreper abilitare AWS Systems Manager

      • AmazonSSMDirectoryServiceAccessper fornire le autorizzazioni per unire le istanze alle directory

    • Un ruolo di monitoraggio avanzato RDS (se il monitoraggio avanzato è abilitato)

  • Gruppi di sicurezza:

    • Gruppo di sicurezza del servizio di directory per consentire le porte di comunicazione di Active Directory

    • Un gruppo di sicurezza Amazon Elastic Compute Cloud (Amazon EC2) per consentire le comunicazioni RDP 3389 e di dominio

    • Un gruppo di sicurezza RDS per consentire la 1433 portabilità di SQL Server da fonti autorizzate

  • Connettività di rete:

    • Risoluzione DNS e connettività di rete corrette tra le sottoreti

Limitazioni

  • Per informazioni su Regioni AWS tale supporto AWS Managed Microsoft AD con RDS per SQL Server, consulta Disponibilità delle regioni e delle versioni.

  • Alcuni Servizi AWS non sono disponibili in tutti Regioni AWS. Per la disponibilità per regione, vedi Servizi AWS per regione. Per endpoint specifici, consulta la pagina Endpoint e quote del servizio e scegli il link relativo al servizio.

Architecture

Stack tecnologico di origine

  • Un Active Directory locale o AWS Managed Microsoft AD

Stack tecnologico Target

  • Amazon EC2

  • Amazon RDS per Microsoft SQL Server

  • AWS Managed Microsoft AD

Architettura Target

L'architettura include quanto segue:

  • Un ruolo IAM che unisce l' EC2 istanza Amazon al AWS Managed Microsoft AD dominio.

  • Un'istanza Amazon EC2 Windows per l'amministrazione e il test dei database.

  • Un Amazon VPC con una sottorete privata per ospitare l'istanza Amazon RDS e le risorse interne nelle zone di disponibilità.

  • Gruppi di sicurezza per il controllo degli accessi alla rete:

    • Un gruppo di sicurezza Amazon RDS per controllare l'accesso in entrata alla porta di SQL Server 1433 da fonti autorizzate.

    • Un gruppo EC2 di sicurezza Amazon per gestire l'accesso RDP tramite porte di comunicazione di porte 3389 e domini.

    • Un gruppo di sicurezza Directory Services per le comunicazioni Active Directory tramite porte 5388,389, e445.

  • AWS Managed Microsoft AD per fornire servizi centralizzati di autenticazione e autorizzazione per le risorse Windows.

  • Un'istanza di database Amazon RDS for SQL Server nella sottorete privata con autenticazione Windows abilitata.

Tools (Strumenti)

Servizi AWS

  • Amazon Elastic Compute Cloud (Amazon EC2) fornisce capacità di elaborazione scalabile in. Cloud AWS Puoi avviare tutti i server virtuali di cui hai bisogno e dimensionarli rapidamente.

  • Amazon Relational Database Service (Amazon RDS) ti aiuta a configurare, gestire e scalare un database relazionale in. Cloud AWS

  • AWS Directory Serviceoffre diversi modi per utilizzare Microsoft Active Directory (AD) con altri Servizi AWS come Amazon Elastic Compute Cloud (Amazon EC2), Amazon Relational Database Service (Amazon RDS) per SQL Server e FSx Amazon per Windows File Server.

  • AWS Directory Service for Microsoft Active Directoryconsente ai carichi di lavoro e alle risorse compatibili con le directory di AWS utilizzare Microsoft Active Directory in. Cloud AWS

  • AWS Identity and Access Management (IAM) ti aiuta a gestire in modo sicuro l'accesso alle tue AWS risorse controllando chi è autenticato e autorizzato a utilizzarle.

Altri servizi

Best practice

Epiche

OperazioneDescriptionCompetenze richieste

Imposta il tipo di directory.

  1. Da Console di gestione AWS, vai a AWS Directory Service.

  2. Scegli Configura directory.

  3. Seleziona AWS Managed Microsoft ADil tipo di directory.

  4. Scegli Crea nuovo dominio AD AWS gestito, quindi scegli Avanti.

DBA, ingegnere DevOps

Configura le informazioni sulla directory.

Nella sezione Informazioni sulla directory, inserisci le informazioni richieste e mantieni i valori opzionali:

  1. In Edizione, seleziona un'edizione che soddisfi i tuoi requisiti.

  2. In Directory DNS name, inserisci un nome di dominio completo (FQDN).

  3. In Password di amministratore, imposta una password per l'account amministratore, quindi scegli Avanti.

DBA, ingegnere DevOps

Configura il VPC e le sottoreti.

  1. In Rete, seleziona un VPC di destinazione (come minimo, devi configurare due sottoreti separate). AWS Zone di disponibilità

  2. In Tipo di rete, seleziona Solo. IPv4

  3. In Sottoreti, seleziona due sottoreti private separate AWS Zone di disponibilità, quindi scegli Avanti.

DBA DevOps , ingegnere

Rivedi e crea la directory.

  1. Rivedi i valori di configurazione, quindi scegli Crea directory.

  2. Attendi che lo stato della directory passi ad Attivo.

DBA, ingegnere DevOps
OperazioneDescriptionCompetenze richieste

Configura un'AMI per Windows.

  1. Da Console di gestione AWS, vai a EC2.

  2. Scegliere Launch Instance (Avvia istanza).

  3. In Nome e tag, inserisci un nome e tutti i tag applicabili.

  4. Scegli un'Amazon Machine Image (AMI) per Windows Server che soddisfi i tuoi requisiti.

  5. In Tipo di istanza, seleziona un tipo di dimensioni adeguate.

  6. In Coppia di chiavi (login), seleziona una coppia di chiavi esistente o creane una nuova.

DBA, ingegnere DevOps

Configurazione delle impostazioni di rete.

  1. In Impostazioni di rete, seleziona lo stesso VPC per cui viene utilizzato. AWS Directory Service

  2. Scegli una sottorete privata.

  3. In Firewall (gruppi di sicurezza), crea un gruppo che consenta le comunicazioni tra porte RDP 3389 e domini.

DBA, ingegnere DevOps

Configura l'archiviazione.

Configura i volumi Amazon EBS in base alle esigenze.

DBA, ingegnere DevOps

Configura i dettagli avanzati e avvia l'istanza.

  1. Espandi la sezione Dettagli avanzati.

  2. Per Domain join directory, seleziona quella creata in precedenza AWS Managed Microsoft AD.

  3. Per il profilo dell'istanza IAM, seleziona un ruolo con le policy AmazonSSMManagedInstanceCore eAmazonSSMDirectoryServiceAccess.

  4. Controlla tutti i valori di configurazione, quindi scegli Launch instance.

DBA, ingegnere DevOps
OperazioneDescriptionCompetenze richieste

Crea un database e configura le opzioni del motore.

  1. Passa alla console Aurora e RDS e scegli Crea un database.

  2. In Opzioni del motore, scegli Microsoft SQL Server.

  3. In Tipo di gestione del database, selezionare Amazon RDS.

  4. Per Edition, scegli un SQL Server che soddisfi i tuoi requisiti.

  5. Per la versione Engine, scegli l'ultima versione supportata.

DBA, ingegnere DevOps

Scegliere un modello.

Scegli un modello di esempio che soddisfi le tue esigenze.

DBA, ingegnere DevOps

Configura le impostazioni del database.

  1. Nella sezione Impostazioni sotto l'identificatore dell'istanza DB, inserisci un nome univoco.

  2. In Nome utente principale, configura le credenziali dell'amministratore.

  3. In Gestione delle credenziali, scegli Gestito in Gestione dei segreti AWS o Gestito autonomamente.

DBA, ingegnere DevOps

Configura l'istanza.

Nella sezione Configurazione dell'istanza, in Classe di istanza DB, seleziona una dimensione dell'istanza che soddisfi i tuoi requisiti.

DBA, ingegnere DevOps

Configura l'archiviazione.

  1. Nella sezione Archiviazione, in Tipo di archiviazione, scegli un tipo che soddisfi i tuoi requisiti. Consigliamo gp3, io1 o io2.

  2. Imposta i valori iniziali richiesti per lo storage allocato, il provisioned IOPS e il throughput di storage.

  3. (Facoltativo) Espandi la sezione Configurazione dello storage aggiuntivo e seleziona Abilita scalabilità automatica dello storage.

DBA, ingegnere DevOps

Configura la connettività.

  1. Nella sezione Connettività, scegli se desideri configurare una connessione a una risorsa di calcolo per il database.

  2. Per VPC, scegli lo stesso VPC che hai. AWS Directory Service

  3. Per il gruppo di sottoreti DB, scegli un gruppo che si estende su più zone di disponibilità.

  4. Per l'accesso pubblico, scegli No.

  5. Per il gruppo di sicurezza VPC (firewall), scegli un gruppo esistente o creane uno nuovo che consenta l'accesso tramite la porta SQL Server. 1433

  6. Seleziona la tua zona di disponibilità preferita.

  7. Espandi la sezione Configurazione aggiuntiva e scegli se desideri utilizzare una porta del database personalizzata.

DBA, ingegnere DevOps

Configura l'autenticazione di Windows.

  1. Nella sezione Autenticazione Microsoft SQL Server Windows, selezionare la casella di controllo Abilita autenticazione Microsoft SQL Server Windows.

  2. Per il tipo di autenticazione Windows, scegli AWS Managed Microsoft AD.

  3. Per Directory, scegli Sfoglia directory e seleziona AWS Managed Microsoft AD.

DBA, ingegnere DevOps

Configura il monitoraggio.

  1. Nella sezione Monitoraggio, scegli Standard o Advance Database Insights.

  2. In Performance Insights, seleziona la casella di controllo Abilita performance insights.

  3. Seleziona un periodo di conservazione e una AWS KMS chiave.

  4. In Impostazioni di monitoraggio aggiuntive, seleziona la casella di controllo Monitoraggio avanzato.

  5. (Facoltativo) In Esportazioni di log, seleziona la casella di controllo Registro degli errori.

Nota: le metriche sono utili quando si desidera vedere in che modo processi o thread diversi utilizzano la CPU. Puoi anche esportare i log degli errori su Amazon CloudWatch se il log degli errori è abilitato.

DBA, ingegnere DevOps

Configura impostazioni aggiuntive.

  1. Espandi la sezione Configurazione aggiuntiva.

  2. Per il gruppo di parametri DB e il gruppo di opzioni DB, scegliete valori predefiniti o personalizzati.

  3. Imposta il tuo fuso orario preferito.

  4. Per Collation, imposta un valore. Il valore predefinito è SQL_Latin1_General_CP1_CI_AS.

  5. In Backup:

    • Seleziona la casella di controllo Abilita backup automatici. In questo modo viene creata un'istantanea del database.

    • Per il periodo di conservazione del Backup, scegli il numero di giorni richiesto.

    • Per la finestra di Backup, scegli un valore.

    • (Facoltativo) Per la replica di Backup, scegli Abilita replica in un altro. Regione AWS

    • Seleziona la casella di controllo Abilita crittografia per crittografare le istanze utilizzando. AWS KMS

  6. Nella finestra di manutenzione, seleziona la casella di controllo Scegli una finestra e imposta un orario preferito.

  7. Seleziona la casella di controllo Abilita la protezione dall'eliminazione.

DBA, ingegnere DevOps

Rivedi i costi e crea un database.

Esamina la sezione Costi mensili stimati, quindi scegli Crea database.

DBA, ingegnere DevOps
OperazioneDescriptionCompetenze richieste

Connect al computer Windows.

Connect al computer Windows e avvia SQL Server Management Studio.

  1. Usa RDP per connetterti al tuo computer Windows utilizzando AWS Managed Microsoft AD le credenziali

  2. Avvia SSMS inserendo SSMS nel menu Start e seleziona SQL Server Management Studio.

DBA, ingegnere DevOps

Configura la connessione SSMS.

Configura la connessione al database utilizzando l'autenticazione di Windows.

  1. Quando viene visualizzata la finestra di dialogo Connetti al server (o accedendo a Esplora oggetti, Connetti, Motore di database), imposta Tipo di server su Motore di database.

  2. Immettete l'endpoint RDS SQL Server (ad esempio,) your-rds-instance.region.rds.amazonaws.com

  3. Scegli l'autenticazione Windows.

DBA, ingegnere DevOps

Configurare le impostazioni di sicurezza.

Imposta i parametri di sicurezza richiesti per SSMS versione 20 o successiva.

  1. Nella scheda Proprietà della connessione, imposta Crittografia su Obbligatoria.

  2. Seleziona la casella di controllo Trust Server Certificate.

  3. Mantieni vuoto il nome host nel campo del certificato.

  4. (Facoltativo) Imposta il nome del database e regola il timeout di connessione in base alle esigenze.

DBA, ingegnere DevOps

Crea un accesso a Windows.

  1. Configura e verifica l'autenticazione di Windows per gli utenti del dominio.

  2. Per stabilire una connessione iniziale, scegli Connect.

  3. Nella finestra di interrogazione, esegui quanto segue:

CREATE LOGIN [<domainName>\<user_name>] FROM WINDOWS;
GO
DBA, ingegnere DevOps

Prova l'autenticazione di Windows.

  1. Esci dall' EC2 istanza Amazon.

  2. Accedi nuovamente all' EC2 istanza utilizzando le credenziali del dominio.

  3. Avvia SSMS.

  4. Connect utilizzando l'autenticazione di Windows.

  5. Verifica che la connessione sia riuscita.

DBA, ingegnere DevOps

Risorse correlate