Configurar a autenticação do Windows para Amazon RDS para Microsoft SQL Server usando AWS Managed Microsoft AD - Recomendações da AWS
ResumoPré-requisitos e limitaçõesArquiteturaFerramentasPráticas recomendadasÉpicosRecursos relacionados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Configurar a autenticação do Windows para Amazon RDS para Microsoft SQL Server usando AWS Managed Microsoft AD

Ramesh Babu Donti, Amazon Web Services

Resumo

Esse padrão mostra como configurar a autenticação do Windows para um Amazon Relational Database Service (Amazon RDS) para instâncias do SQL Server AWS Directory Service for Microsoft Active Directory usando AWS Managed Microsoft AD(). A autenticação do Windows permite que os usuários se conectem à instância do RDS usando as credenciais de domínio, em vez de nomes de usuário e senhas específicos do banco de dados.

É possível habilitar a autenticação do Windows tanto ao criar um novo banco de dados SQL Server do RDS quanto ao adicioná-la a uma instância de banco de dados existente. A instância do banco de dados se integra AWS Managed Microsoft AD para fornecer autenticação e autorização centralizadas para usuários do domínio que acessam o banco de dados do SQL Server.

Esta configuração aprimora a segurança ao aproveitar a infraestrutura existente do Active Directory e elimina a necessidade de gerenciar credenciais de banco de dados separadas para os usuários de domínio.

Pré-requisitos e limitações

Pré-requisitos

  • Um ativo Conta da AWS com as permissões apropriadas

  • Uma nuvem privada virtual (VPC) com os seguintes recursos:

    • Gateways da internet e tabelas de rotas configurados

    • Gateways NAT em sub-redes públicas (se o acesso à internet for necessário para as instâncias)

  • AWS Identity and Access Management Funções (IAM):

    • Uma função de domínio com as seguintes políticas AWS gerenciadas:

      • AmazonSSMManagedInstanceCorepara habilitar AWS Systems Manager

      • AmazonSSMDirectoryServiceAccess para fornecer permissões para adicionar instâncias aos diretórios

    • Um perfil de monitoramento aprimorado do RDS (se o monitoramento aprimorado estiver habilitado)

  • Grupos de segurança:

    • Grupo de segurança do serviço de diretório para permitir as portas de comunicação do Active Directory

    • Um grupo de segurança da Amazon Elastic Compute Cloud (Amazon EC2) para permitir comunicações por RDP 3389 e domínio

    • Um grupo de segurança do RDS para permitir a porta 1433 do SQL Server de fontes autorizadas

  • Conectividade de rede:

    • Resolução de DNS adequada e conectividade de rede entre sub-redes

Limitações

Arquitetura

Pilha de tecnologia de origem

  • Um Active Directory local ou AWS Managed Microsoft AD

Pilha de tecnologias de destino

  • Amazon EC2

  • Amazon RDS para Microsoft SQL Server

  • AWS Managed Microsoft AD

Arquitetura de destino

A arquitetura inclui o seguinte:

  • Uma função do IAM que une a EC2 instância da Amazon ao AWS Managed Microsoft AD domínio.

  • Uma instância EC2 do Amazon Windows para administração e teste de banco de dados.

  • Uma Amazon VPC com uma sub-rede privada para hospedar a instância do Amazon RDS e recursos internos entre zonas de disponibilidade.

  • Grupos de segurança para controle de acesso à rede:

    • Um grupo de segurança do Amazon RDS para controlar o acesso de entrada à porta 1433 do SQL Server proveniente de fontes autorizadas.

    • Um grupo EC2 de segurança da Amazon para gerenciar o acesso RDP por meio de portas 3389 e portas de comunicação de domínio.

    • Um grupo de segurança do Directory Services para comunicações do Active Directory pelas portas 53, 88, 389 e 445.

  • AWS Managed Microsoft AD para fornecer serviços centralizados de autenticação e autorização para recursos do Windows.

  • Uma instância de banco de dados do Amazon RDS para SQL Server na sub-rede privada com autenticação do Windows habilitada.

Ferramentas

Serviços da AWS

  • O Amazon Elastic Compute Cloud (Amazon EC2) fornece capacidade de computação escalável no. Nuvem AWS Você poderá iniciar quantos servidores virtuais precisar e escalá-los na vertical rapidamente.

  • O Amazon Relational Database Service (Amazon RDS) ajuda você a configurar, operar e escalar um banco de dados relacional na Nuvem AWS.

  • AWS Directory Servicefornece várias maneiras de usar o Microsoft Active Directory (AD) com outros Serviços da AWS , como Amazon Elastic Compute Cloud (Amazon EC2), Amazon Relational Database Service (Amazon RDS) para SQL Server e FSx Amazon para Windows File Server.

  • AWS Directory Service for Microsoft Active Directorypermite que suas cargas de trabalho e AWS recursos com reconhecimento de diretório usem o Microsoft Active Directory no. Nuvem AWS

  • AWS Identity and Access Management (IAM) ajuda você a gerenciar com segurança o acesso aos seus AWS recursos controlando quem está autenticado e autorizado a usá-los.

Outros serviços

Práticas recomendadas

Épicos

TarefaDescriptionHabilidades necessárias

Configure o tipo de diretório.

  1. A partir do Console de gerenciamento da AWS, navegue até AWS Directory Service.

  2. Selecione Configurar diretório.

  3. Selecione AWS Managed Microsoft AD para o tipo de diretório.

  4. Escolha Criar novo domínio AD AWS gerenciado e, em seguida, escolha Avançar.

DBA, engenheiro DevOps

Configure as informações do diretório.

Na seção Informações do diretório, insira as informações obrigatórias e mantenha os valores opcionais:

  1. Em Edição, selecione uma edição que atenda aos seus requisitos.

  2. Em Nome de DNS do diretório, insira um nome de domínio totalmente qualificado (FQDN).

  3. Em Senha de administrador, defina uma senha para a conta de administrador e, em seguida, clique em Próximo.

DBA, engenheiro DevOps

Configure a VPC e as sub-redes.

  1. Em Rede, selecione uma VPC de destino (no mínimo, você deve configurar duas sub-redes separadamente). Zonas de disponibilidade da AWS

  2. Em Tipo de rede, selecione IPv4 somente.

  3. Em Sub-redes, selecione duas sub-redes privadas separadas e escolha Zonas de disponibilidade da AWS Avançar.

DBA, engenheiro DevOps

Analise e crie o diretório.

  1. Analise os valores de configuração e, em seguida, clique em Criar diretório.

  2. Aguarde o status do diretório ser alterado para Ativo.

DBA, engenheiro DevOps
TarefaDescriptionHabilidades necessárias

Configure uma AMI para Windows.

  1. A partir do Console de gerenciamento da AWS, navegue até EC2.

  2. Escolha Iniciar instância.

  3. Em Nome e etiquetas, insira um nome e quaisquer etiquetas aplicáveis.

  4. Escolha uma imagem de máquina da Amazon (AMI) para Windows que atenda aos requisitos.

  5. Em Tipo de instância, selecione um tipo com o tamanho adequado.

  6. Em Par de chaves (login), selecione um par de chaves existente ou crie um novo.

DBA, engenheiro DevOps

Definir configurações de rede.

  1. Em Configurações de rede, selecione a mesma VPC usada para o AWS Directory Service.

  2. Escolha uma sub-rede privada.

  3. Em Firewall (grupos de segurança), crie um grupo que permita a porta RDP 3389 e as comunicações de domínio.

DBA, engenheiro DevOps

Configure o armazenamento.

Configure os volumes do Amazon EBS conforme necessário.

DBA, engenheiro DevOps

Configure os detalhes avançados e inicie a instância.

  1. Expanda a seção Detalhes avançados.

  2. Em Diretório de ingresso no domínio, selecione o criado anteriormente AWS Managed Microsoft AD.

  3. Em Perfil de instância do IAM, selecione um perfil com as políticas AmazonSSMManagedInstanceCore e AmazonSSMDirectoryServiceAccess.

  4. Analise todos os valores de configuração e, em seguida, clique em Iniciar instância.

DBA, engenheiro DevOps
TarefaDescriptionHabilidades necessárias

Crie um banco de dados e configure as opções do mecanismo.

  1. Acesse o console do Aurora e do RDS e clique em Criar um banco de dados.

  2. Em Opções de mecanismo, escolha Microsoft SQL Server.

  3. Em Tipo de gerenciamento de banco de dados, escolha Amazon RDS.

  4. Em Edição, selecione uma versão do SQL Server que atenda aos seus requisitos.

  5. Em Versão do mecanismo, selecione a versão mais recente compatível.

DBA, engenheiro DevOps

Escolher um modelo.

Escolha um modelo de amostra que atenda aos seus requisitos.

DBA, engenheiro DevOps

Defina configurações do banco de dados.

  1. Na seção Configurações, em Identificador da instância de banco de dados, insira um nome exclusivo.

  2. Em Nome de usuário principal, configure as credenciais do administrador.

  3. Em Gerenciamento de credenciais, escolha Gerenciado no AWS Secrets Manager ou Autogerenciado.

DBA, engenheiro DevOps

Configure a instância.

Na seção Configuração da instância, em Classe da instância de banco de dados, selecione um tamanho de instância que atenda às suas necessidades.

DBA, engenheiro DevOps

Configure o armazenamento.

  1. Na seção Armazenamento, em Tipo de armazenamento, escolha um tipo que atenda às suas necessidades. Recomendamos gp3, io1 ou io2.

  2. Defina os valores iniciais conforme necessário para Armazenamento alocado, IOPS provisionadas e Throughput de armazenamento.

  3. (Opcional) Expanda a seção Configuração de armazenamento adicional e selecione Habilitar ajuste de escala automático para armazenamento.

DBA, engenheiro DevOps

Configure a conectividade.

  1. Na seção Conectividade, escolha se deseja configurar uma conexão com um recurso de computação para o banco de dados.

  2. Para VPC, escolha a mesma VPC que tem. AWS Directory Service

  3. Em Grupo de sub-redes do banco de dados, escolha um grupo que abranja várias zonas de disponibilidade.

  4. No campo acesso público, escolha Não.

  5. Em Grupo de segurança da VPC (firewall), escolha um grupo existente ou crie um novo que permita o acesso pela porta 1433 do SQL Server.

  6. Selecione a zona de disponibilidade de sua preferência.

  7. Expanda a seção Configuração adicional e escolha se você deseja usar uma porta de banco de dados personalizada.

DBA, engenheiro DevOps

Configure a autenticação do Windows.

  1. Na seção Autenticação do Windows do Microsoft SQL Server, marque a caixa de seleção Habilitar autenticação do Windows do Microsoft SQL Server.

  2. Em Tipo de autenticação do Windows, escolha AWS Managed Microsoft AD.

  3. Em Diretório, escolha Procurar diretório e selecione AWS Managed Microsoft AD.

DBA, engenheiro DevOps

Configure o monitoramento.

  1. Na seção Monitoramento, escolha entre insights de banco de dados padrão ou avançados.

  2. Em Insights de performance, marque a caixa de seleção Habilitar insights de performance.

  3. Selecione um período de retenção e uma AWS KMS chave.

  4. Em Configurações adicionais de monitoramento, marque a caixa de seleção Monitoramento aprimorado.

  5. (Opcional) Em Exportações de log, marque a caixa de seleção Log de erros.

Observação: as métricas são úteis quando você deseja ver como diferentes processos ou threads usam a CPU. Você também pode exportar registros de erros para a Amazon CloudWatch se o registro de erros estiver ativado.

DBA, engenheiro DevOps

Defina configurações adicionais.

  1. Expanda a seção Configuração adicional.

  2. Para o grupo de parâmetros do banco de dados e o grupo de opções do banco de dados, escolha valores predefinidos ou personalizados.

  3. Defina o fuso horário de sua preferência.

  4. Em Agrupamento, defina um valor. O padrão é SQL_Latin1_General_CP1_CI_AS.

  5. Em Backup:

    • Selecione a caixa de seleção Habilitar backups automatizados. Isso cria um snapshot do banco de dados.

    • Em Período de retenção do backup, escolha o número de dias desejado.

    • Em Janela de backup, escolha um valor.

    • (Opcional) Em Replicação de backup, selecione Habilitar replicação em outra Região da AWS.

    • Marque a caixa de seleção Ativar criptografia para criptografar instâncias usando. AWS KMS

  6. Em Janela de manutenção, marque a caixa de seleção Escolher uma janela e defina o horário desejado.

  7. Marque a caixa de seleção Habilitar proteção contra exclusão.

DBA, engenheiro DevOps

Analise os custos e crie o banco de dados.

Analise a seção Custos mensais estimados e, em seguida, selecione Criar banco de dados.

DBA, engenheiro DevOps
TarefaDescriptionHabilidades necessárias

Conecte-se à máquina do Windows.

Conecte-se à sua máquina do Windows e inicie o SQL Server Management Studio.

  1. Use o RDP para se conectar à sua máquina Windows usando credenciais AWS Managed Microsoft AD

  2. Inicie o SSMS inserindo SSMS no menu Iniciar e selecione SQL Server Management Studio.

DBA, engenheiro DevOps

Configure a conexão com o SSMS.

Configure a conexão com o banco de dados usando a autenticação do Windows.

  1. Quando a caixa de diálogo Conectar-se ao servidor for exibida (ou quando você acessar Explorador de objetos, Conectar e, por fim, Mecanismo de banco de dados), defina Tipo de servidor como Mecanismo de banco de dados.

  2. Insira o endpoint do SQL Server do RDS (por exemplo, your-rds-instance.region.rds.amazonaws.com).

  3. Escolha Autenticação do Windows.

DBA, engenheiro DevOps

Faça as configurações de segurança.

Configure os parâmetros de segurança necessários para o SSMS na versão 20 ou em versões posteriores.

  1. Na guia Propriedades da conexão, defina Criptografia como Obrigatória.

  2. Selecione a caixa de seleção Confiar no certificado do servidor.

  3. Mantenha o campo Nome do host no certificado em branco.

  4. (Opcional) Defina o nome do banco de dados e ajuste o tempo limite de conexão conforme necessário.

DBA, engenheiro DevOps

Crie um login do Windows.

  1. Configure e teste a autenticação do Windows para usuários do domínio.

  2. Para estabelecer uma conexão inicial, escolha Conectar.

  3. Na janela de consulta, execute o seguinte comando:

CREATE LOGIN [<domainName>\<user_name>] FROM WINDOWS;
GO
DBA, engenheiro DevOps

Teste a autenticação do Windows.

  1. Saia da EC2 instância da Amazon.

  2. Faça login novamente na EC2 instância usando suas credenciais de domínio.

  3. Inicie o SSMS.

  4. Conecte-se usando a autenticação do Windows.

  5. Verifique se a conexão foi bem-sucedida.

DBA, engenheiro DevOps

Recursos relacionados