使用 Amazon RDS for Db2 的 Kerberos 身分驗證 - Amazon Relational Database Service
區域和版本可用性資料庫執行個體的 Kerberos 身分驗證概觀管理網域中的資料庫執行個體

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Amazon RDS for Db2 的 Kerberos 身分驗證

您可以使用 Kerberos 身分驗證,在使用者連線到您的 Amazon RDS for Db2 資料庫執行個體時對其進行身分驗證。在此組態中,您的資料庫執行個體可搭配 AWS Directory Service for Microsoft Active Directory 使用,也稱為 AWS Managed Microsoft AD。您可以將 AWS Managed Microsoft AD 目錄的網域和其他資訊新增至 RDS for Db2 資料庫執行個體。當使用者向加入信任網域的 RDS for Db2 資料庫執行個體進行驗證時,身分驗證請求會轉送到您使用 Directory Service 建立的 AWS Managed Microsoft AD 目錄。

將您的所有登入資料保留在相同目錄可以節省您的時間和精力。透過這種方式,這樣您就有一個集中的位置來存放及管理多個資料庫執行個體的登入資料。使用目錄也可以改善您的整體安全性描述檔。

除此之外,您也可以從自己的內部部署 Microsoft Active Directory 存取登入資料。若要執行這項操作,請建立信任網域關聯,讓 AWS Managed Microsoft AD 目錄信任您的內部部署 Microsoft Active Directory。如此一來,使用者就可以透過在存取您內部部署網路的工作負載時相同的 Windows 單一登入 (SSO) 體驗,來存取 RDS for Db2 資料庫執行個體。

如需詳細資訊,請參閱《AWS Directory Service 使用者指南》中的什麼是 Directory Service?

如需 Kerberos 身分驗證的相關資訊,請參閱下列主題:

主題

區域和版本可用性

功能可用性和支援會因每個資料庫引擎的特定版本以及 AWS 區域 而有所不同。如需有關 RDS for Db2 搭配 Kerberos 身分驗證的版本和區域可用性的詳細資訊,請參閱 支援 Amazon RDS 中 Kerberos 身分驗證的區域和資料庫引擎

注意

RDS for Db2 資料庫執行個體棄用的資料庫執行個體類別不支援 Kerberos 身分驗證。如需更多詳細資訊,請參閱 Amazon RDS for Db2 執行個體類別

RDS for Db2 資料庫執行個體的 Kerberos 身分驗證概觀

若要針對 RDS for Db2 資料庫執行個體設定 Kerberos 身分驗證,請完成下列一般步驟,稍後會有這方面的詳細說明:

  1. 使用 AWS Managed Microsoft AD 來建立 AWS Managed Microsoft AD 目錄。您可以使用 AWS 管理主控台、AWS Command Line Interface (AWS CLI) 或 Directory Service 來建立目錄。如需詳細資訊,請參閱《AWS Directory Service 管理指南》中的建立 AWS Managed Microsoft AD 目錄

  2. 建立使用受管 IAM 政策 AmazonRDSDirectoryServiceAccess 的 AWS Identity and Access Management (IAM) 角色。IAM 角色允許 Amazon RDS 對您的目錄進行呼叫。

    針對可允許存取權的 IAM 角色,必須在正確的 AWS 區域 中啟用您 AWS 帳戶 的 AWS Security Token Service (AWS STS) 端點。AWS STS 端點在所有 AWS 區域 中預設為作用中,您無須採取任何進一步的動作就可以使用這些端點。如需詳細資訊,請參閱《IAM 使用者指南》中的在 AWS 區域 中啟用與停用 AWS STS

  3. 使用 AWS 管理主控台、AWS CLI 或 RDS API 搭配下列其中一種方法,建立或修改 RDS for Db2 資料庫執行個體:

    您可以在與目錄相同的 Amazon Virtual Private Cloud (VPC) 或在不同的 AWS 帳戶 或 VPC 中尋找資料庫執行個體。當您建立或修改 RDS for Db2 資料庫執行個體時,請執行以下作業:

    • 請提供您建立目錄時產生的網域識別符 (d-* 識別符)。

    • 請提供所建立的 IAM 角色名稱。

    • 確認資料庫執行個體安全群組可以從目錄的安全群組接收傳入流量。

  4. 設定您的 Db2 用戶端,並確認流量可以在下列連接埠的用戶端主機與 Directory Service 之間流動:

    • TCP/UDP 連接埠 53 – DNS

    • TCP 88 – Kerberos 身分驗證

    • TCP 389 – LDAP

    • TCP 464 – Kerberos 身分驗證

管理網域中的資料庫執行個體

您可以使用 AWS 管理主控台、AWS CLI 或 Amazon RDS API 來管理資料庫執行個體,以及其與 Microsoft Active Directory 的關係。例如,您可以使 Active Directory 產生關聯,以啟用 Kerberos 身分驗證。您也可以移除 Active Directory 的關聯,以停用 Kerberos 身分驗證。您也可以將要由某個 Active Directory 於外部進行身分識別的資料庫執行個體移至另一個 Microsoft Active Directory。

例如,您可以執行 modify-db-instance CLI 命令,以執行下列動作:

  • 透過為 --domain 選項指定目前成員資格的目錄 ID,重新嘗試啟用失敗成員資格的 Kerberos 身分驗證。

  • 透過為 --domain 選項指定 none,在資料庫執行個體上停用 Kerberos 身分驗證。

  • 透過為 --domain 選項指定新網域的網域識別符,將資料庫執行個體從某個網域移至另一個網域。

了解網域成員資格

在您建立或修改資料庫執行個體之後,該執行個體會成為網域的成員。您可以在主控台中或執行 describe-db-instances 命令,來檢視網域成員資格狀態。資料庫執行個體的狀態可以是下列其中一個:

  • kerberos-enabled – 資料庫執行個體已啟用 Kerberos 身分驗證。

  • enabling-kerberos – AWS 正在此資料庫執行個體上啟用 Kerberos 身分驗證。

  • pending-enable-kerberos – 在此資料庫執行個體上擱置 Kerberos 身分驗證的啟用。

  • pending-maintenance-enable-kerberos – AWS 將在下次排定的維護時段嘗試在資料庫執行個體上啟用 Kerberos 身分驗證。

  • pending-disable-kerberos – 在此資料庫執行個體上擱置 Kerberos 身分驗證的停用。

  • pending-maintenance-disable-kerberos – AWS 將在下次排定的維護時段嘗試在資料庫執行個體上停用 Kerberos 身分驗證。

  • enable-kerberos-failed – 發生組態問題,導致 AWS 無法在資料庫執行個體上啟用 Kerberos 身分驗證。請更正問題,然後重新發出命令來修改資料庫執行個體。

  • disabling-kerberos – AWS 正在此資料庫執行個體上停用 Kerberos 身分驗證。

由於網路連線問題或 IAM 角色不正確,請求啟用 Kerberos 身分驗證可能失敗。在某些情況下,當您建立或修改資料庫執行個體時,嘗試啟用 Kerberos 身分驗證可能會失敗。若發生這個情況,請驗證您使用正確的 IAM 角色,然後修改要加入網域的資料庫執行個體。