設定自我管理 Active Directory - Amazon Relational Database Service
步驟 1:在您的 AD 中建立組織單位步驟 2:在您的 AD 中建立 AD 網域服務帳戶。步驟 3:將控制權委派給 AD 網域服務帳戶步驟 4:建立 AWS KMS 金鑰。步驟 5:建立 AWS 秘密。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定自我管理 Active Directory

若要設定自我管理 AD,請採取下列步驟。

步驟 1:在您的 AD 中建立組織單位

重要

我們建議為擁有加入自我管理 AD 網域之 RDS for SQL Server 資料庫執行個體的任何 AWS 帳戶建立範圍為該 OU 的專用 OU 和服務憑證。透過專用 OU 和服務憑證,您可以避免衝突的許可,並遵循最低權限的主體。

在您的 AD 中建立 OU

  1. 以網域管理員身分連線至您的 AD 網域。

  2. 開啟 Active Directory 使用者和電腦,然後選取您要在其中建立 OU 的網域。

  3. 在網域上按一下滑鼠右鍵,然後選擇新增,再選擇組織單位

  4. 輸入 OU 的名稱。

  5. 保持選取保護容器免遭意外刪除的方塊。

  6. 按一下 OK (確定)。您的新 OU 會出現在您的網域下方。

步驟 2:在您的 AD 中建立 AD 網域服務帳戶

網域服務帳戶登入資料將用於 AWS Secrets Manager 中的秘密。

在您的 AD 中建立 AD 網域服務帳戶

  1. 開啟 Active Directory 使用者和電腦,然後選取您要在其中建立使用者的網域。

  2. 使用者上按一下滑鼠右鍵,然後選擇新增,再選擇使用者

  3. 輸入使用者的名字、姓氏和登入名稱。按一下 Next (下一步)

  4. 輸入使用者的密碼。不要選取「使用者在下次登入時必須變更密碼」。不要選取「帳戶已停用」。按一下 Next (下一步)

  5. 按一下 OK (確定)。您的新使用者會出現在您的網域下方。

步驟 3:將控制權委派給 AD 網域服務帳戶

將控制權委派給網域中的 AD 網域服務帳戶

  1. 開啟 Active Directory 使用者和電腦 MMC 嵌入式管理單元,然後選取您要在其中建立使用者的網域。

  2. 在您先前建立的 OU 上按一下滑鼠右鍵,然後選擇委派控制權

  3. 委派控制權精靈頁面上,按下一步

  4. 使用者或群組區段上,按一下新增

  5. 選取使用者、電腦或群組區段上,輸入您建立的 AD 網域服務帳戶,然後按一下檢查名稱。如果 AD 網域服務帳戶檢查成功,請按一下確定

  6. 使用者或群組區段上,確認已新增您的 AD 網域服務帳戶,然後按下一步

  7. 要委派的任務區段上,選取建立要委派的自訂任務,然後按下一步

  8. Active Directory 物件類型區段上:

    1. 選擇僅限資料夾中的下列物件

    2. 選取電腦物件

    3. 選取在此資料夾中建立選取的物件

    4. 選取刪除此資料夾中選取的物件,然後按下一步

  9. 許可區段上:

    1. 保持選取一般

    2. 選取已驗證寫入 DNS 主機名稱

    3. 選取已驗證寫入服務主體名稱,然後按下一步

    4. 若要啟用 Kerberos 身分驗證,請保持選取屬性特定,然後從清單中選取寫入 servicePrincipalName

  10. 對於完成委派控制權精靈,請檢閱並確認您的設定,然後按一下完成

  11. 針對 Kerberos 身分驗證,開啟 DNS Manager,並開啟伺服器屬性。

    1. 在 Windows 對話方塊中,輸入 dnsmgmt.msc

    2. 安全性索引標籤底下新增 AD 網域服務帳戶。

    3. 選取讀取許可,並套用您的變更。

步驟 4:建立 AWS KMS 金鑰

KMS 金鑰用於加密您的 AWS 秘密。

建立 AWS KMS 金鑰
注意

對於加密金鑰,請勿使用 AWS 預設 KMS 金鑰。請務必在包含您要加入自我管理 AD 的 RDS for SQL Server 資料庫執行個體的相同 AWS 帳戶中建立 AWS KMS 金鑰。

  1. 在 AWS KMS 主控台中,選擇建立金鑰

  2. 對於金鑰類型,選擇對稱

  3. 對於金鑰用途,選擇加密和解密

  4. 針對 Advanced options (進階選項)

    1. 對於金鑰材料來源,選擇 KMS

    2. 對於區域性,選擇單一區域金鑰,然後按下一步

  5. 對於別名,提供 KMS 金鑰的名稱。

  6. (選用) 對於描述,提供 KMS 金鑰的描述。

  7. (選用) 對於標籤,提供 KMS 金鑰的標籤,然後按下一步

  8. 對於金鑰管理員,提供 IAM 使用者的名稱,然後選取該名稱。

  9. 對於金鑰刪除,保持選取允許金鑰管理員刪除此金鑰的方塊,然後按下一步

  10. 對於金鑰使用者,提供上一個步驟中相同的 IAM 使用者,然後選取該使用者。按一下 Next (下一步)

  11. 檢閱組態。

  12. 對於金鑰政策,在政策聲明中包含下列內容:

    {
    "Sid": "Allow use of the KMS key on behalf of RDS",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "rds.amazonaws.com"
        ]
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

  13. 按一下 Finish (完成)

步驟 5:建立 AWS 秘密

若要建立機密
注意

請務必在包含您要加入自我管理 AD 之 RDS for SQL Server 資料庫執行個體的相同 AWS 帳戶中建立秘密。

  1. 在 AWS Secrets Manager 中,選擇儲存新的秘密

  2. 針對機密類型,選擇其他類型的機密

  3. 對於金鑰/值對,新增兩個金鑰:

    1. 對於第一個金鑰,輸入 SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME

    2. 對於第一個金鑰的值,僅輸入 AD 使用者的使用者名稱 (不含網域字首)。請勿包含網域名稱,因為這會導致執行個體建立失敗。

    3. 對於第二個金鑰,輸入 SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD

    4. 對於第二個金鑰的值,輸入您在網域上為 AD 使用者建立的密碼。

  4. 對於加密金鑰,輸入您在上一個步驟中建立的 KMS 金鑰,然後按下一步

  5. 對於秘密名稱,輸入可協助您稍後尋找密碼的描述性名稱。

  6. (選用) 對於描述,輸入秘密名稱的描述。

  7. 對於資源許可,按一下編輯

  8. 請將下列政策新增至許可政策:

    注意

    建議您使用政策中的 aws:sourceAccountaws:sourceArn 條件金鑰,保護自己免受混淆代理人問題的困擾。使用 AWS 帳戶 適用於 的 aws:sourceAccount和適用於 的 RDS for SQL Server 資料庫執行個體 ARNaws:sourceArn。如需詳細資訊,請參閱防止跨服務混淆代理人問題

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement":
    [
        {
            "Effect": "Allow",
            "Principal":
            {
                "Service": "rds.amazonaws.com"
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "aws:sourceAccount": "123456789012"
                },
                "ArnLike":
                {
                    "aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
                }
            }
        }
    ]
}

  9. 按一下儲存,然後按下一步

  10. 對於設定輪換設定,保留預設值並選擇下一步

  11. 檢閱秘密的設定,然後按一下存放

  12. 選擇您建立的秘密,然後複製秘密 ARN 的值。這將在下一個步驟中用來設定自我管理 Active Directory。