Usar a autenticação do Kerberos para o Amazon RDS para Db2 - Amazon Relational Database Service
Disponibilidade de região e versãoVisão geral da autenticação Kerberos para instâncias de banco de dadosGerenciamento de uma instância de banco de dados em um domínio

Usar a autenticação do Kerberos para o Amazon RDS para Db2

É possível usar a autenticação Kerberos para autenticar usuários quando se conectam à instância de banco de dados do Amazon RDS para Db2. A instância de banco de dados funciona com AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) para habilitar a autenticação Kerberos. Quando os usuários são autenticados com uma instância de banco de dados do RDS para Db2 unida ao domínio confiável, as solicitações de autenticação são encaminhadas ao diretório criado com o AWS Directory Service. Para ter mais informações, consulte O que é AWS Directory Service? no Guia de administração do AWS Directory Service.

Primeiro, crie um diretório AWS Managed Microsoft AD para armazenar credenciais de usuário. Depois, adicione o domínio e outras informações do diretório AWS Managed Microsoft AD à instância de banco de dados do RDS para Db2. Quando os usuários são autenticados com a instância de banco de dados do RDS para Db2, as solicitações de autenticação são encaminhadas ao diretório AWS Managed Microsoft AD.

Manter todas as suas credenciais no mesmo diretório pode economizar tempo e esforço. Com essa abordagem, você tem um lugar centralizado para armazenar e gerenciar credenciais para várias instâncias de banco de dados. O uso de um diretório também pode melhorar o perfil de segurança geral.

Consulte informações sobre a autenticação Kerberos nos tópicos a seguir.

Tópicos

Disponibilidade de regiões e versões

A disponibilidade e a compatibilidade de recursos variam entre versões específicas de cada mecanismo de banco de dados e entre Regiões da AWS. Para ter mais informações sobre a disponibilidade de versões e regiões do RDS para Db2 com a autenticação Kerberos, consulte Regiões e mecanismos de banco de dados compatíveis com a autenticação Kerberos no Amazon RDS.

nota

A autenticação Kerberos não é compatível com classes de instância de banco de dados obsoletas para instâncias de banco de dados do RDS para Db2. Para obter mais informações, consulte Classes de instância do Amazon RDS para Db2.

Visão geral da autenticação Kerberos para instâncias de banco de dados do RDS para Db2

Para configurar a autenticação Kerberos para uma instância de banco de dados do RDS para Db2, conclua as seguintes etapas gerais, descritas em mais detalhes posteriormente:

  1. Use AWS Managed Microsoft AD para criar um diretório do AWS Managed Microsoft AD. É possível usar o AWS Management Console, a AWS Command Line Interface (AWS CLI) ou o AWS Directory Service para criar o diretório. Para ter mais informações, consulte Create your AWS Managed Microsoft AD directory no Guia de administração do AWS Directory Service.

  2. Crie uma função do AWS Identity and Access Management (IAM) que use a politica gerenciada AmazonRDSDirectoryServiceAccess do IAM. O perfil do IAM permite que o Amazon RDS faça chamadas para o diretório.

    Para o perfil do IAM permitir o acesso, o endpoint do AWS Security Token Service (AWS STS) deve estar ativado na Região da AWS correta da Conta da AWS. Os endpoints do AWS STS são ativos por padrão em todas as Regiões da AWS e é possível usá-los sem precisar tomar medidas adicionais. Para ter mais informações, consulte Ativar e desativar o AWS STS em uma Região da AWS no Guia do usuário do IAM.

  3. Crie ou modifique uma instância de banco de dados do RDS para Db2 usando o AWS Management Console, a AWS CLI ou a API do RDS com um dos seguintes métodos:

    É possível localizar a instância de banco de dados na mesma Amazon Virtual Private Cloud (VPC) do diretório ou em uma Conta da AWS ou uma VPC diferente. Ao criar ou modificar a instância de banco de dados do RDS para Db2, realize as seguintes tarefas:

    • Forneça o identificador de domínio (identificador d-*) que foi gerado quando você criou seu diretório.

    • Forneça o nome do perfil do IAM criado.

    • Verifique se o grupo de segurança da instância de banco de dados pode receber o tráfego de entrada do grupo de segurança do diretório.

  4. Configure o cliente do Db2 e verifique se o tráfego pode fluir entre o host do cliente e o AWS Directory Service para as seguintes portas:

    • Porta TCP/UDP 53: DNS

    • TCP 88: autenticação Kerberos

    • TCP 389: LDAP

    • TCP 464: autenticação Kerberos

Gerenciamento de uma instância de banco de dados em um domínio

É possível usar o AWS Management Console, a AWS CLI ou a API do RDS para gerenciar a instância de banco de dados e a respectiva relação no Microsoft Active Directory. Por exemplo, é possível associar um Active Directory para habilitar a autenticação Kerberos. Também é possível remover a associação de um Active Directory para desabilitar a autenticação Kerberos. Também é possível mover uma instância de banco de dados para ser autenticada externamente por um Microsoft Active Directory para outro.

Por exemplo, executando o comando da CLI modify-db-instance, é possível realizar as seguintes ações:

  • Tente habilitar novamente a autenticação Kerberos para uma associação com falha, especificando o ID do diretório atual da associação para a --domain opção.

  • Desabilite a autenticação Kerberos em uma instância de banco de dados especificando none para a opção --domain.

  • Mova uma instância de banco de dados de um domínio para outro especificando o identificador do novo domínio para a opção --domain.

Compreensão da associação de domínio

Depois que você cria ou modifica a instância de banco de dados, ela se torna membro do domínio. É possível visualizar o status da associação do domínio no console ou executando o comando describe-db-instances. O status da instância de banco de dados pode ser um dos seguintes:

  • kerberos-enabled: a instância de banco de dados tem a autenticação Kerberos habilitada.

  • enabling-kerberos: a AWS está no processo de habilitar a autenticação Kerberos nessa instância de bancos de dados.

  • pending-enable-kerberos: a habilitação da autenticação Kerberos está pendente nessa instância de banco de dados.

  • pending-maintenance-enable-kerberos: a AWS tentará habilitar a autenticação Kerberos na instância de bancos de dados durante a próxima janela de manutenção programada.

  • pending-disable-kerberos: a desativação da autenticação Kerberos está pendente nessa instância de banco de dados.

  • pending-maintenance-disable-kerberos: a AWS tentará desabilitar a autenticação Kerberos na instância de banco de dados durante a próxima janela de manutenção programada.

  • enable-kerberos-failed: um problema de configuração impediu que AWS habilitasse a autenticação Kerberos na instância de banco de dados. Corrija o problema de configuração antes de emitir o comando novamente para modificar a instância de banco de dados.

  • disabling-kerberos: a AWS está no processo de desabilitar a autenticação Kerberos nessa instância de bancos de dados.

Uma solicitação para habilitar a autenticação Kerberos pode falhar por conta de um problema de conectividade de rede ou de um perfil do IAM incorreto. Em alguns casos, a tentativa de habilitar a autenticação Kerberos pode falhar quando você cria ou modifica uma instância de banco de dados. Nesse caso, verifique se você está usando o perfil do IAM correto e modifique a instância de banco de dados para ingressar no domínio.