使用 Amazon RDS for Db2 的Kerberos身分驗證 - Amazon Relational Database Service
區域和版本可用性資料庫執行個體的Kerberos身分驗證概觀管理網域中的資料庫執行個體

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon RDS for Db2 的Kerberos身分驗證

您可以在使用者連線到 Amazon RDS for Db2 資料庫執行個體時,使用Kerberos身分驗證來驗證使用者。您的資料庫執行個體使用 AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) 來啟用Kerberos身分驗證。當使用者使用加入信任網域的 RDS for Db2 資料庫執行個體進行身分驗證時,身分驗證請求會轉送到您建立的目錄 AWS Directory Service。如需詳細資訊,請參閱《AWS Directory Service 使用者指南》中的什麼是 AWS Directory Service?

首先,建立 AWS Managed Microsoft AD 目錄來存放使用者登入資料。然後,將 網域和 AWS Managed Microsoft AD 目錄的其他資訊新增至 RDS for Db2 資料庫執行個體。當使用者使用 RDS for Db2 資料庫執行個體進行身分驗證時,身分驗證請求會轉送至 AWS Managed Microsoft AD 目錄。

將您的所有登入資料保留在相同目錄可以節省您的時間和精力。透過這種方式,這樣您就有一個集中的位置來存放及管理多個資料庫執行個體的登入資料。使用目錄也可以改善您的整體安全性描述檔。

如需Kerberos身分驗證的資訊,請參閱下列主題。

主題

區域和版本可用性

功能可用性和支援會因每個資料庫引擎的特定版本以及 AWS 區域而有所不同。如需使用Kerberos身分驗證的 RDS for Db2 版本和區域可用性的詳細資訊,請參閱 Amazon RDS 中 Kerberos 身分驗證支援的區域和資料庫引擎

注意

Kerberos 已取代 RDS for Db2 資料庫執行個體的資料庫執行個體類別不支援身分驗證。如需詳細資訊,請參閱Amazon RDS for Db2 執行個體類別

RDS for Db2 資料庫執行個體的Kerberos身分驗證概觀

若要設定 RDS for Db2 資料庫執行個體的Kerberos身分驗證,請完成下列一般步驟,稍後將詳細說明:

  1. 使用 AWS Managed Microsoft AD 建立 AWS Managed Microsoft AD 目錄。您可以使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 或 AWS Directory Service 來建立目錄。如需詳細資訊,請參閱《 AWS Directory Service 管理指南》中的建立 AWS Managed Microsoft AD 目錄

  2. 建立使用 受管 IAM 政策 的 AWS Identity and Access Management (IAM) 角色AmazonRDSDirectoryServiceAccess。IAM 角色允許 Amazon RDS 呼叫您的目錄。

    若要讓 IAM 角色允許存取,必須在適用於 AWS 區域 的正確 中啟用 AWS Security Token Service (AWS STS) 端點 AWS 帳戶。 AWS STS 端點預設會在所有 中處於作用中狀態 AWS 區域,而且您可以使用它們,而不需要任何進一步的動作。如需詳細資訊,請參閱《IAM 使用者指南》中的在 AWS STS 中啟用和停用 AWS 區域

  3. 使用 AWS Management Console、 AWS CLI或 RDS API 搭配下列其中一種方法,建立或修改 RDS for Db2 資料庫執行個體:

    您可以在與目錄相同的 Amazon Virtual Private Cloud (VPC) 或不同的 或 AWS 帳戶 VPC 中找到資料庫執行個體。當您建立或修改 RDS for Db2 資料庫執行個體時,請執行下列任務:

    • 請提供您建立目錄時產生的網域識別符 (d-* 識別符)。

    • 請提供所建立的 IAM 角色名稱。

    • 確認資料庫執行個體安全群組可以接收來自目錄安全群組的傳入流量。

  4. 設定您的 Db2 用戶端,並確認流量可以在用戶端主機與 AWS Directory Service 下列連接埠之間流動:

    • TCP/UDP 連接埠 53 – DNS

    • TCP 88 – Kerberos身分驗證

    • TCP 389 – LDAP

    • TCP 464 – Kerberos身分驗證

管理網域中的資料庫執行個體

您可以使用 AWS Management Console、 AWS CLI或 RDS API 來管理資料庫執行個體及其與 的關係Microsoft Active Directory。例如,您可以關聯 Active Directory來啟用Kerberos身分驗證。您也可以移除 的關聯Active Directory,以停用Kerberos身分驗證。您也可以將要由外部驗證的資料庫執行個體移至Microsoft Active Directory另一個資料庫執行個體。

例如,執行 modify-db-instance CLI 命令,您可以執行下列動作:

  • 透過為 --domain選項指定目前成員資格的目錄 ID,重新嘗試啟用失敗成員資格的Kerberos身分驗證。

  • 透過none--domain選項指定 ,在資料庫執行個體上停用Kerberos身分驗證。

  • 透過為 --domain選項指定新網域的網域識別符,將資料庫執行個體從一個網域移至另一個網域。

了解網域成員資格

在您建立或修改資料庫執行個體之後,該執行個體會成為網域的成員。您可以在 主控台中或透過執行 describe-db-instances命令來檢視網域成員資格的狀態。資料庫執行個體的狀態可以是下列其中一個:

  • kerberos-enabled – 資料庫執行個體已啟用Kerberos身分驗證。

  • enabling-kerberos – AWS 正在在此資料庫執行個體上啟用Kerberos身分驗證。

  • pending-enable-kerberos – 在此資料庫執行個體上啟用Kerberos身分驗證是待處理的。

  • pending-maintenance-enable-kerberos – AWS 將在下一個排定的維護時段嘗試在資料庫執行個體上啟用Kerberos身分驗證。

  • pending-disable-kerberos – 停用身分Kerberos驗證在此資料庫執行個體上處於待定狀態。

  • pending-maintenance-disable-kerberos – AWS 將在下一個排定的維護時段嘗試停用資料庫執行個體上的Kerberos身分驗證。

  • enable-kerberos-failed – AWS 無法在資料庫執行個體上啟用Kerberos身分驗證的組態問題。在重新發出命令來修改資料庫執行個體之前,請先修正組態問題。

  • disabling-kerberos – AWS 正在停用此資料庫執行個體的Kerberos身分驗證。

由於網路連線問題或不正確的 IAM 角色,啟用Kerberos身分驗證的請求可能會失敗。在某些情況下,當您建立或修改資料庫執行個體時,嘗試啟用Kerberos身分驗證可能會失敗。如果發生這種情況,請確認您使用的是正確的 IAM 角色,然後修改資料庫執行個體以加入網域。