를 사용하여 Amazon RDS for Microsoft SQL Server에 대한 Windows 인증 구성 AWS Managed Microsoft AD - 권장 가이드
요약사전 조건 및 제한 사항아키텍처도구모범 사례에픽관련 리소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용하여 Amazon RDS for Microsoft SQL Server에 대한 Windows 인증 구성 AWS Managed Microsoft AD

Ramesh Babu Donti, Amazon Web Services

요약

이 패턴은 AWS Directory Service for Microsoft Active Directory ()를 사용하여 SQL Server 인스턴스용 Amazon Relational Database Service(RDS)에 대한 Windows 인증을 구성하는 방법을 보여줍니다AWS Managed Microsoft AD. Windows 인증을 통해 사용자는 데이터베이스별 사용자 이름과 암호 대신 도메인 자격 증명을 사용하여 RDS 인스턴스에 연결할 수 있습니다.

새 RDS SQL Server 데이터베이스를 생성할 때 또는 기존 데이터베이스 인스턴스에 추가하여 Windows 인증을 활성화할 수 있습니다. 데이터베이스 인스턴스는와 통합되어 SQL Server 데이터베이스에 액세스하는 도메인 사용자에게 중앙 집중식 인증 및 권한 부여를 AWS Managed Microsoft AD 제공합니다.

이 구성은 기존 Active Directory 인프라를 활용하여 보안을 강화하고 도메인 사용자를 위해 별도의 데이터베이스 자격 증명을 관리할 필요가 없습니다.

사전 조건 및 제한 사항

사전 조건 

  • 적절한 권한이 AWS 계정 있는 활성

  • 다음과 같은 Virtual Private Cloud(VPC)입니다.

    • 구성된 인터넷 게이트웨이 및 라우팅 테이블

    • 퍼블릭 서브넷의 NAT 게이트웨이(인스턴스에 인터넷 액세스가 필요한 경우)

  • AWS Identity and Access Management (IAM) 역할:

    • 다음과 같은 AWS 관리형 정책이 있는 도메인 역할:

      • AmazonSSMManagedInstanceCore를 활성화하려면 AWS Systems Manager

      • AmazonSSMDirectoryServiceAccess 인스턴스를 디렉터리에 조인할 수 있는 권한을 제공하려면

    • RDS 확장 모니터링 역할(확장 모니터링이 활성화된 경우)

  • 보안 그룹

    • Active Directory 통신 포트를 허용하는 디렉터리 서비스 보안 그룹

    • RDP 3389 및 도메인 통신을 허용하는 Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹

    • 승인된 소스1433의 SQL Server 포트를 허용하는 RDS 보안 그룹

  • 네트워크 연결:

    • 서브넷 간의 적절한 DNS 확인 및 네트워크 연결

제한 사항

아키텍처

소스 기술 스택  

  • 온프레미스 Active Directory 또는 AWS Managed Microsoft AD

대상 기술 스택

  • Amazon EC2

  • Amazon RDS for Microsoft SQL Server

  • AWS Managed Microsoft AD

대상 아키텍처 

이 아키텍처에는 다음 이벤트가 포함됩니다.

  • Amazon EC2 인스턴스를 AWS Managed Microsoft AD 도메인에 조인하는 IAM 역할입니다.

  • 데이터베이스 관리 및 테스트를 위한 Amazon EC2 Windows 인스턴스입니다.

  • 가용 영역 전체에서 Amazon RDS 인스턴스 및 내부 리소스를 호스팅하기 위한 프라이빗 서브넷이 있는 Amazon VPC입니다.

  • 보안 그룹을 통한 네트워크 액세스 제어

    • 승인된 소스1433에서 SQL Server 포트에 대한 인바운드 액세스를 제어하는 Amazon RDS 보안 그룹입니다.

    • 포트 3389 및 도메인 통신 포트를 통해 RDP 액세스를 관리하는 Amazon EC2 보안 그룹입니다.

    • 포트 53, , 88 389및를 통한 Active Directory 통신을 위한 Directory Services 보안 그룹입니다445.

  • AWS Managed Microsoft AD Windows 리소스에 대한 중앙 집중식 인증 및 권한 부여 서비스를 제공합니다.

  • Windows 인증이 활성화된 프라이빗 서브넷의 Amazon RDS for SQL Server 데이터베이스 인스턴스입니다.

도구

AWS 서비스

  • Amazon Elastic Compute Cloud(Amazon EC2)는 AWS 클라우드에서 확장 가능한 컴퓨팅 용량을 제공합니다. 필요한 만큼 가상 서버를 시작하고 빠르게 스케일 업하거나 스케일 다운할 수 있습니다.

  • Amazon Relational Database Service(RDS)는 AWS 클라우드에서 관계형 데이터베이스를 설정, 운영 및 조정하는 데 도움이 됩니다.

  • AWS Directory Service는 Amazon Elastic Compute Cloud(Amazon EC2), SQL Server용 Amazon Relational Database Service(RDS), Windows File Server용 Amazon FSx AWS 서비스 와 같은 다른와 함께 Microsoft Active Directory(AD)를 사용하는 여러 가지 방법을 제공합니다.

  • AWS Directory Service for Microsoft Active Directory를 사용하면 디렉터리 인식 워크로드 및 AWS 리소스가에서 Microsoft Active Directory를 사용할 수 있습니다 AWS 클라우드.

  • AWS Identity and Access Management (IAM)는 AWS 리소스에 대한 액세스를 인증하고 사용할 수 있는 권한을 부여받은 사용자를 제어하여 리소스에 대한 액세스를 안전하게 관리하는 데 도움이 됩니다.

기타 서비스

모범 사례

에픽

작업설명필요한 기술

디렉터리 유형을 설정합니다.

  1. 에서 로 AWS Management Console이동합니다AWS Directory Service.

  2. 디렉터리 설정을 선택합니다.

  3. 디렉터리 유형에 AWS Managed Microsoft AD 대해를 선택합니다.

  4. 새 AWS 관리형 AD 도메인 생성을 선택한 후 다음을 선택합니다.

DBA, DevOps 엔지니어

디렉터리 정보를 구성합니다.

디렉터리 정보 섹션에 필수 정보를 입력하고 선택적 값을 유지합니다.

  1. 에디션에서 요구 사항을 충족하는 에디션을 선택합니다.

  2. 디렉터리 DNS 이름에 정규화된 도메인 이름(FQDN)을 입력합니다.

  3. 관리자 암호에서 관리자 계정의 암호를 설정한 후 다음을 선택합니다.

DBA, DevOps 엔지니어

VPC 및 서브넷을 구성합니다.

  1. 네트워킹에서 대상 VPC를 선택합니다(최소한 2개의 서브넷을 별도로 설정해야 함 AWS 가용 영역).

  2. 네트워크 유형에서 IPv4만 선택합니다.

  3. 서브넷에서 별도의 프라이빗 서브넷 2개를 선택한 후 다음을 AWS 가용 영역선택합니다.

DBA, DevOps 엔지니어

디렉터리를 검토하고 생성합니다.

  1. 구성 요약을 살펴본 후 생성을 선택합니다.

  2. 제외 상태가 활성으로 변경될 때까지 기다립니다.

DBA, DevOps 엔지니어
작업설명필요한 기술

Windows용 AMI를 구성합니다.

  1. 에서 EC2로 AWS Management Console이동합니다.

  2. 인스턴스 시작을 선택합니다.

  3. 이름 및 태그에 이름과 해당하는 태그를 입력합니다.

  4. 요구 사항에 맞는 Windows Server용 Amazon Machine Image(AMI)를 선택합니다.

  5. 인스턴스 유형에서 적절한 크기의 유형을 선택합니다.

  6. 키 페어(로그인)에서 기존 키 페어를 선택하거나 새 키 페어를 생성합니다.

DBA, DevOps 엔지니어

네트워크 설정 구성

  1. 네트워크 설정에서에 사용되는 것과 동일한 VPC를 선택합니다 AWS Directory Service.

  2. 프라이빗 서브넷을 선택합니다.

  3. 방화벽(보안 그룹)에서 RDP 포트 3389 및 도메인 통신을 허용하는 그룹을 생성합니다.

DBA, DevOps 엔지니어

스토리지를 구성합니다.

필요에 따라 Amazon EBS 볼륨을 구성합니다.

DBA, DevOps 엔지니어

고급 세부 정보를 구성하고 인스턴스를 시작합니다.

  1. 고급 세부 정보 섹션을 확장합니다.

  2. 도메인 조인 디렉터리에서 이전에 생성한를 선택합니다 AWS Managed Microsoft AD.

  3. IAM 인스턴스 프로파일에서 정책 AmazonSSMManagedInstanceCore 및가 있는 역할을 선택합니다AmazonSSMDirectoryServiceAccess.

  4. 인스턴스 구성을 검토하고 인스턴스 시작을 선택합니다.

DBA, DevOps 엔지니어
작업설명필요한 기술

데이터베이스를 생성하고 엔진 옵션을 구성합니다.

  1. Aurora 및 RDS 콘솔로 이동하여 데이터베이스 생성을 선택합니다.

  2. Engine options(엔진 옵션)에서 Microsoft SQL Server를 선택합니다.

  3. 데이터베이스 관리 유형에서 Amazon RDS를 선택합니다.

  4. 에디션에서 요구 사항을 충족하는 SQL Server를 선택합니다.

  5. 엔진 버전에서 지원되는 최신 버전을 선택합니다.

DBA, DevOps 엔지니어

템플릿(Template)을 선택합니다.

요구 사항에 맞는 샘플 템플릿을 선택합니다.

DBA, DevOps 엔지니어

특정 데이터베이스 설정을 구성합니다.

  1. 설정(Settings) 섹션에서 고유한 DB 인스턴스 식별자(DB instance identifier) 이름을 입력합니다.

  2. 마스터 사용자 이름에서 관리자 자격 증명을 구성합니다.

  3. (선택 사항) 자격 증명 관리에서 AWS Secrets Manager에서 관리 또는 자체 관리를 선택합니다.

DBA, DevOps 엔지니어

인스턴스를 구성합니다.

인스턴스 구성 섹션의 DB 인스턴스 클래스에서 요구 사항에 맞는 인스턴스 크기를 선택합니다.

DBA, DevOps 엔지니어

스토리지를 구성합니다.

  1. 스토리지 섹션의 스토리지 유형에서 요구 사항에 맞는 유형을 선택합니다. gp3, io1 또는 io2를 사용하는 것이 좋습니다.

  2. 할당된 스토리지, 프로비저닝된 IOPS스토리지 처리량에 대해 필요에 따라 초기 값을 설정합니다.

  3. (선택 사항) 추가 스토리지 구성 섹션을 확장하고 스토리지 자동 크기 조정 활성화를 선택합니다.

DBA, DevOps 엔지니어

연결 구성

  1. 연결 섹션에서 데이터베이스의 컴퓨팅 리소스에 대한 연결을 설정할지 여부를 선택합니다.

  2. VPC에서와 동일한 VPC를 선택합니다 AWS Directory Service.

  3. DB 서브넷 그룹에서 여러 가용 영역에 걸쳐 있는 그룹을 선택합니다.

  4. 퍼블릭 액세스의 경우 아니요를 선택합니다.

  5. VPC 보안 그룹(방화벽)에서 기존 그룹을 선택하거나 SQL Server 포트를 통한 액세스를 허용하는 새 그룹을 생성합니다1433.

  6. 원하는 가용 영역을 선택합니다.

  7. 추가 구성 섹션을 확장하고 사용자 지정 데이터베이스 포트를 사용할지 선택합니다.

DBA, DevOps 엔지니어

Windows 인증을 구성합니다.

  1. Microsoft SQL Server Windows 인증 섹션에서 Microsoft SQL Server Windows 인증 활성화 확인란을 선택합니다.

  2. Windows 인증 유형에서를 선택합니다AWS Managed Microsoft AD.

  3. 디렉터리에서 디렉터리 찾아보기를 선택하고를 선택합니다AWS Managed Microsoft AD.

DBA, DevOps 엔지니어

 모니터링을 구성하려면()

  1. 모니터링 섹션에서 표준 또는 고급 데이터베이스 인사이트를 선택합니다.

  2. 성능 인사이트에서 성능 인사이트 활성화 확인란을 선택합니다.

  3. 보존 기간과 AWS KMS 키를 선택합니다.

  4. 추가 모니터링 설정에서 향상된 모니터링 확인란을 선택합니다.

  5. (선택 사항) 로그 내보내기에서 오류 로그 확인란을 선택합니다.

다른 프로세스 또는 스레드에서 CPU를 사용하는 방법을 확인하려면 Enhanced Monitoring 지표가 유용합니다. 오류 로그가 활성화된 경우 오류 로그를 Amazon CloudWatch로 내보낼 수도 있습니다.

DBA, DevOps 엔지니어

​추가 설정을 구성합니다.

  1. 추가 구성 섹션을 확장하고 다음을 수행합니다.

  2. DB 파라미터 그룹DB 옵션 그룹에서 기본값 또는 사용자 지정 값을 선택합니다.

  3. 원하는 시간대를 설정합니다.

  4. 데이터 정렬의 경우 값을 설정합니다. 기본값은 SQL_Latin1_General_CP1_CI_AS입니다.

  5. 백업에서:

    • 자동 백업 활성화 확인란을 선택합니다. 그러면 데이터베이스 스냅샷이 생성됩니다.

    • 백업 보존 기간에서 필요한 일수를 선택합니다.

    • 백업 창에서 값을 선택합니다.

    • 백업 복제(Backup replication)에서 다른 AWS 리전으로의 복제 활성화(Enable replication to another AWS 리전)를 선택합니다.

    • 를 사용하여 인스턴스를 암호화하려면 암호화 활성화 확인란을 선택합니다 AWS KMS.

  6. 유지 관리 창에서 기간 선택 확인란을 선택하고 원하는 시간을 설정합니다.

  7. 삭제 방지 활성화 확인란을 선택합니다.

DBA, DevOps 엔지니어

비용을 검토하고 데이터베이스를 생성합니다.

예상 월별 비용 섹션을 검토한 다음 데이터베이스 생성을 선택합니다.

DBA, DevOps 엔지니어
작업설명필요한 기술

Windows 시스템에 연결합니다.

Windows 시스템에 연결하고 SQL Server Management Studio를 시작합니다.

  1. RDP를 사용하여 자격 AWS Managed Microsoft AD 증명을 사용하여 Windows 시스템에 연결

  2. 시작 메뉴에 SSMS를 입력하여 SSMS를 시작하고 SQL Server Management Studio를 선택합니다.

DBA, DevOps 엔지니어

SSH 연결을 구성합니다.

Windows 인증을 사용하여 데이터베이스 연결을 설정합니다.

  1. 서버에 연결 대화 상자가 나타나면(또는 객체 탐색기, 연결, 데이터베이스 엔진으로 이동하여) 서버 유형을 데이터베이스 엔진으로 설정합니다.

  2. RDS SQL Server 엔드포인트를 입력합니다(예: your-rds-instance.region.rds.amazonaws.com).

  3. Windows 인증: 를 선택합니다.

DBA, DevOps 엔지니어

보안 설정을 구성합니다.

SSMS 버전 20 이상에 필요한 보안 파라미터를 설정합니다.

  1. 연결 속성 탭에서 암호화필수로 설정합니다.

  2. 서버 인증서 신뢰 확인란을 선택합니다.

  3. 인증서의 호스트 이름을 비워 둡니다.

  4. (선택 사항) 데이터베이스 이름을 설정하고 필요에 따라 연결 제한 시간을 조정합니다.

DBA, DevOps 엔지니어

Windows 로그인을 생성합니다.

  1. 도메인 사용자에 대한 Windows 인증을 설정하고 테스트합니다.

  2. 연결을 선택하여 연결을 설정합니다.

  3. RSQL 창 1에서는 다음 쿼리를 실행합니다.

CREATE LOGIN [<domainName>\<user_name>] FROM WINDOWS;
GO
DBA, DevOps 엔지니어

Windows 인증

  1. Amazon EC2 인스턴스에서 로그아웃합니다.

  2. 도메인 보안 인증 정보를 사용하여 SQL Server용 Windows EC2 인스턴스에 로그인합니다.

  3. SSMS를 시작합니다.

  4. Windows 인증을 사용하여 연결

  5. 연결이 성공인지 테스트합니다.

DBA, DevOps 엔지니어

관련 리소스