기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 를 사용하여 Amazon RDS for Microsoft SQL Server에 대한 Windows 인증 구성 AWS Managed Microsoft AD
<a name="configure-windows-authentication-for-amazon-rds-using-microsoft-ad"></a>

*Ramesh Babu Donti, Amazon Web Services*

## 요약
<a name="configure-windows-authentication-for-amazon-rds-using-microsoft-ad-summary"></a>

이 패턴은 AWS Directory Service for Microsoft Active Directory ()를 사용하여 SQL Server 인스턴스용 Amazon Relational Database Service(RDS)에 대한 Windows 인증을 구성하는 방법을 보여줍니다AWS Managed Microsoft AD. Windows 인증을 통해 사용자는 데이터베이스별 사용자 이름과 암호 대신 도메인 자격 증명을 사용하여 RDS 인스턴스에 연결할 수 있습니다.

새 RDS SQL Server 데이터베이스를 생성할 때 또는 기존 데이터베이스 인스턴스에 추가하여 Windows 인증을 활성화할 수 있습니다. 데이터베이스 인스턴스는와 통합되어 SQL Server 데이터베이스에 액세스하는 도메인 사용자에게 중앙 집중식 인증 및 권한 부여를 AWS Managed Microsoft AD 제공합니다.

이 구성은 기존 Active Directory 인프라를 활용하여 보안을 강화하고 도메인 사용자를 위해 별도의 데이터베이스 자격 증명을 관리할 필요가 없습니다.

## 사전 조건 및 제한 사항
<a name="configure-windows-authentication-for-amazon-rds-using-microsoft-ad-prereqs"></a>

**사전 조건 **
+ 적절한 권한이 AWS 계정 있는 활성
+ 다음과 같은 Virtual Private Cloud(VPC)입니다.
  + 구성된 인터넷 게이트웨이 및 라우팅 테이블
  + 퍼블릭 서브넷의 NAT 게이트웨이(인스턴스에 인터넷 액세스가 필요한 경우)
+ AWS Identity and Access Management (IAM) 역할:
  + 다음과 같은 AWS 관리형 정책이 있는 도메인 역할:
    + `AmazonSSMManagedInstanceCore`를 활성화하려면 AWS Systems Manager
    + `AmazonSSMDirectoryServiceAccess` 인스턴스를 디렉터리에 조인할 수 있는 권한을 제공하려면
  + RDS 확장 모니터링 역할(확장 모니터링이 활성화된 경우)
+ 보안 그룹
  + Active Directory 통신 포트를 허용하는 디렉터리 서비스 보안 그룹
  + RDP `3389` 및 도메인 통신을 허용하는 Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹
  + 승인된 소스`1433`의 SQL Server 포트를 허용하는 RDS 보안 그룹
+ 네트워크 연결:
  + 서브넷 간의 적절한 DNS 확인 및 네트워크 연결

**제한 사항 **
+ RDS for SQL Server AWS Managed Microsoft AD 를 지원하는 AWS 리전 에 대한 자세한 내용은 [리전 및 버전 가용성](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_SQLServerWinAuth.html#USER_SQLServerWinAuth.RegionVersionAvailability)을 참조하세요.
+ 일부 AWS 서비스 는 전혀 사용할 수 없습니다 AWS 리전. 리전 가용성은 [리전별AWS 서비스](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) 섹션을 참조하세요. 구체적인 엔드포인트는 [서비스 엔드포인트 및 할당량](https://docs.aws.amazon.com/general/latest/gr/aws-service-information.html) 페이지를 참조하고 서비스 링크를 선택합니다.

## 아키텍처
<a name="configure-windows-authentication-for-amazon-rds-using-microsoft-ad-architecture"></a>

**소스 기술 스택  **
+ 온프레미스 Active Directory 또는 AWS Managed Microsoft AD

**대상 기술 스택**
+ Amazon EC2
+ Amazon RDS for Microsoft SQL Server
+ AWS Managed Microsoft AD

**대상 아키텍처 **

![\[alt text not found\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/images/pattern-img/e02f6059-6631-46f6-819c-5961af7ba4ae/images/1aa50e3b-b4f6-4d44-9f9e-6cbb248a159c.png)


이 아키텍처에는 다음 이벤트가 포함됩니다.
+ Amazon EC2 인스턴스를 AWS Managed Microsoft AD 도메인에 조인하는 IAM 역할입니다.
+ 데이터베이스 관리 및 테스트를 위한 Amazon EC2 Windows 인스턴스입니다.
+ 가용 영역 전체에서 Amazon RDS 인스턴스 및 내부 리소스를 호스팅하기 위한 프라이빗 서브넷이 있는 Amazon VPC입니다.
+ 보안 그룹을 통한 네트워크 액세스 제어
  + 승인된 소스`1433`에서 SQL Server 포트에 대한 인바운드 액세스를 제어하는 Amazon RDS 보안 그룹입니다.
  + 포트 `3389` 및 도메인 통신 포트를 통해 RDP 액세스를 관리하는 Amazon EC2 보안 그룹입니다.
  + 포트 `53`, , `88` `389`및를 통한 Active Directory 통신을 위한 Directory Services 보안 그룹입니다`445`.
+ AWS Managed Microsoft AD Windows 리소스에 대한 중앙 집중식 인증 및 권한 부여 서비스를 제공합니다.
+ Windows 인증이 활성화된 프라이빗 서브넷의 Amazon RDS for SQL Server 데이터베이스 인스턴스입니다.

## 도구
<a name="configure-windows-authentication-for-amazon-rds-using-microsoft-ad-tools"></a>

**AWS 서비스**
+ [Amazon Elastic Compute Cloud(Amazon EC2)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html)는 AWS 클라우드에서 확장 가능한 컴퓨팅 용량을 제공합니다. 필요한 만큼 가상 서버를 시작하고 빠르게 스케일 업하거나 스케일 다운할 수 있습니다.
+ Amazon Relational Database Service(RDS)는 AWS 클라우드에서 관계형 데이터베이스를 설정, 운영 및 조정하는 데 도움이 됩니다.
+ [AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html)는 Amazon Elastic Compute Cloud(Amazon EC2), SQL Server용 Amazon Relational Database Service(RDS), Windows File Server용 Amazon FSx AWS 서비스 와 같은 다른와 함께 Microsoft Active Directory(AD)를 사용하는 여러 가지 방법을 제공합니다.
+ [AWS Directory Service for Microsoft Active Directory](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/directory_microsoft_ad.html)를 사용하면 디렉터리 인식 워크로드 및 AWS 리소스가에서 Microsoft Active Directory를 사용할 수 있습니다 AWS 클라우드.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)는 AWS 리소스에 대한 액세스를 인증하고 사용할 수 있는 권한을 부여받은 사용자를 제어하여 리소스에 대한 액세스를 안전하게 관리하는 데 도움이 됩니다.

**기타 서비스**
+ [Microsoft SQL Server Management Studio(SSMS)](https://learn.microsoft.com/en-us/sql/ssms/download-sql-server-management-studio-ssms)는 SQL 서버 구성 요소에 대한 액세스, 구성 및 관리를 포함하여 SQL Server를 관리하기 위한 도구입니다.

## 모범 사례
<a name="configure-windows-authentication-for-amazon-rds-using-microsoft-ad-best-practices"></a>
+ 일반적인 모범 사례는 [Amazon RDS 모범 사례를 참조하세요](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_BestPractices.html).

## 에픽
<a name="configure-windows-authentication-for-amazon-rds-using-microsoft-ad-epics"></a>

### 구성 AWS Managed Microsoft AD
<a name="configure-managed-ad"></a>


| 작업 | 설명 | 필요한 기술 | 
| --- | --- | --- | 
| 디렉터리 유형을 설정합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/configure-windows-authentication-for-amazon-rds-using-microsoft-ad.html) | DBA, DevOps 엔지니어 | 
| 디렉터리 정보를 구성합니다. | **디렉터리 정보** 섹션에 필수 정보를 입력하고 선택적 값을 유지합니다.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/configure-windows-authentication-for-amazon-rds-using-microsoft-ad.html) | DBA, DevOps 엔지니어 | 
| VPC 및 서브넷을 구성합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/configure-windows-authentication-for-amazon-rds-using-microsoft-ad.html) | DBA, DevOps 엔지니어 | 
| 디렉터리를 검토하고 생성합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/configure-windows-authentication-for-amazon-rds-using-microsoft-ad.html) | DBA, DevOps 엔지니어 | 

### Amazon DocumentDB용 EC2 인스턴스를 생성하고 구성합니다.
<a name="create-and-configure-an-ec2-instance"></a>


| 작업 | 설명 | 필요한 기술 | 
| --- | --- | --- | 
| Windows용 AMI를 구성합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/configure-windows-authentication-for-amazon-rds-using-microsoft-ad.html) | DBA, DevOps 엔지니어 | 
| 네트워크 설정 구성 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/configure-windows-authentication-for-amazon-rds-using-microsoft-ad.html) | DBA, DevOps 엔지니어 | 
| 스토리지를 구성합니다. | 필요에 따라 Amazon EBS 볼륨을 구성합니다. | DBA, DevOps 엔지니어 | 
| 고급 세부 정보를 구성하고 인스턴스를 시작합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/configure-windows-authentication-for-amazon-rds-using-microsoft-ad.html) | DBA, DevOps 엔지니어 | 

### Windows 인증을 사용하여 RDS for SQL Server 생성 및 구성
<a name="create-and-configure-rds-for-sql-server-with-windows-authentication"></a>


| 작업 | 설명 | 필요한 기술 | 
| --- | --- | --- | 
| 데이터베이스를 생성하고 엔진 옵션을 구성합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/configure-windows-authentication-for-amazon-rds-using-microsoft-ad.html) | DBA, DevOps 엔지니어 | 
| 템플릿(Template)을 선택합니다. | 요구 사항에 맞는 샘플 템플릿을 선택합니다. | DBA, DevOps 엔지니어 | 
| 특정 데이터베이스 설정을 구성합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/configure-windows-authentication-for-amazon-rds-using-microsoft-ad.html) | DBA, DevOps 엔지니어 | 
| 인스턴스를 구성합니다. | **인스턴스 구성** 섹션의 **DB 인스턴스 클래스**에서 요구 사항에 맞는 인스턴스 크기를 선택합니다. | DBA, DevOps 엔지니어 | 
| 스토리지를 구성합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/configure-windows-authentication-for-amazon-rds-using-microsoft-ad.html) | DBA, DevOps 엔지니어 | 
|  연결 구성 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/configure-windows-authentication-for-amazon-rds-using-microsoft-ad.html) | DBA, DevOps 엔지니어 | 
| Windows 인증을 구성합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/configure-windows-authentication-for-amazon-rds-using-microsoft-ad.html) | DBA, DevOps 엔지니어 | 
|  모니터링을 구성하려면() | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/configure-windows-authentication-for-amazon-rds-using-microsoft-ad.html)다른 프로세스 또는 스레드에서 CPU를 사용하는 방법을 확인하려면 Enhanced Monitoring 지표가 유용합니다. 오류 로그가 활성화된 경우 **오류 로그**를 Amazon CloudWatch로 내보낼 수도 있습니다. | DBA, DevOps 엔지니어 | 
| ​추가 설정을 구성합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/configure-windows-authentication-for-amazon-rds-using-microsoft-ad.html) | DBA, DevOps 엔지니어 | 
| 비용을 검토하고 데이터베이스를 생성합니다. | **예상 월별 비용** 섹션을 검토한 다음 **데이터베이스 생성을** 선택합니다. | DBA, DevOps 엔지니어 | 

### 데이터베이스 액세스 및 테스트 연결 구성
<a name="configure-database-access-and-test-connections"></a>


| 작업 | 설명 | 필요한 기술 | 
| --- | --- | --- | 
| Windows 시스템에 연결합니다. | Windows 시스템에 연결하고 SQL Server Management Studio를 시작합니다.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/configure-windows-authentication-for-amazon-rds-using-microsoft-ad.html) | DBA, DevOps 엔지니어 | 
| SSH 연결을 구성합니다. | Windows 인증을 사용하여 데이터베이스 연결을 설정합니다.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/configure-windows-authentication-for-amazon-rds-using-microsoft-ad.html) | DBA, DevOps 엔지니어 | 
| 보안 설정을 구성합니다. | SSMS 버전 20 이상에 필요한 보안 파라미터를 설정합니다.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/configure-windows-authentication-for-amazon-rds-using-microsoft-ad.html) | DBA, DevOps 엔지니어 | 
| Windows 로그인을 생성합니다. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/configure-windows-authentication-for-amazon-rds-using-microsoft-ad.html)<pre>CREATE LOGIN [<domainName>\<user_name>] FROM WINDOWS;<br />GO</pre> | DBA, DevOps 엔지니어 | 
| Windows 인증 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/patterns/configure-windows-authentication-for-amazon-rds-using-microsoft-ad.html) | DBA, DevOps 엔지니어 | 

## 관련 리소스
<a name="configure-windows-authentication-for-amazon-rds-using-microsoft-ad-resources"></a>
+ [생성 AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_getting_started_create_directory.html)
+ [에 Amazon EC2 Windows 인스턴스 조인 AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/launching_instance.html)
+ [Amazon RDS에서 Kerberos 인증에 지원되는 리전 및 DB 엔진](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.RDS_Fea_Regions_DB-eng.Feature.KerberosAuthentication.html)
+ [SQL Server Management Studio(SSMS)란 무엇인가요?](https://learn.microsoft.com/en-us/ssms/sql-server-management-studio-ssms)