Bekerja dengan Direktori Aktif AWS Terkelola dengan RDS untuk SQL Server - Layanan Basis Data Relasional Amazon
Wilayah dan ketersediaan versiGambaran umum pengaturan autentikasi WindowsMemulihkan instans DB dan menambahkannya ke domain

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bekerja dengan Direktori Aktif AWS Terkelola dengan RDS untuk SQL Server

Anda dapat menggunakan AWS Managed Microsoft AD untuk mengautentikasi pengguna dengan Windows Authentication ketika mereka terhubung ke RDS Anda untuk instans SQL Server DB. Instans DB bekerja dengan AWS Directory Service for Microsoft Active Directory, juga disebut AWS Managed Microsoft AD, untuk mengaktifkan Windows Authentication. Ketika pengguna mengautentikasi dengan instans DB SQL Server yang tergabung ke domain tepercaya, permintaan autentikasi diteruskan ke direktori domain yang Anda buat dengan AWS Directory Service.

Ketersediaan wilayah dan versi

Amazon RDS mendukung penggunaan hanya AWS Managed Microsoft AD untuk Windows Authentication. RDS tidak mendukung penggunaan AD Connector. Untuk informasi lebih lanjut, lihat hal berikut:

Untuk informasi tentang ketersediaan versi dan Wilayah, lihat Autentikasi Kerberos dengan RDS for SQL Server.

Gambaran umum pengaturan autentikasi Windows

Amazon RDS menggunakan mode campuran untuk Autentikasi Windows. Pendekatan ini berarti pengguna master (nama dan kata sandi yang digunakan untuk membuat instans DB SQL Server) akan menggunakan Autentikasi SQL. Karena akun pengguna master adalah kredensial istimewa, Anda harus membatasi akses ke akun ini.

Untuk mendapatkan Autentikasi Windows menggunakan Microsoft Active Directory on-premise atau yang di-host sendiri, buat sebuah forest trust. Trust dapat bersifat satu atau dua arah. Untuk informasi selengkapnya tentang menyiapkan trust hutan AWS Directory Service, lihat Kapan membuat hubungan kepercayaan dalam Panduan AWS Directory Service Administrasi.

Untuk mengatur autentikasi Windows untuk instans DB SQL Server, lakukan langkah-langkah berikut, yang dijelaskan secara lebih terperinci dalam Mengatur Autentikasi Windows untuk instans DB SQL Server:

  1. Gunakan AWS Managed Microsoft AD, baik dari AWS Management Console atau AWS Directory Service API, untuk membuat AWS Managed Microsoft AD direktori.

  2. Jika Anda menggunakan AWS CLI atau Amazon RDS API untuk membuat instans SQL Server DB, buat peran AWS Identity and Access Management (IAM). Peran ini menggunakan kebijakan IAM terkelola AmazonRDSDirectoryServiceAccess dan memungkinkan Amazon RDS melakukan panggilan ke direktori Anda. Jika Anda menggunakan konsol untuk membuat instans DB SQL Server, AWS akan membuat peran IAM untuk Anda.

    Agar peran mengizinkan akses, titik akhir AWS Security Token Service (AWS STS) harus diaktifkan di AWS Wilayah untuk AWS akun Anda. AWS STS endpoint aktif secara default di semua AWS Wilayah, dan Anda dapat menggunakannya tanpa tindakan lebih lanjut. Untuk informasi selengkapnya, lihat Mengelola AWS STS di Wilayah AWS dalam Panduan Pengguna IAM.

  3. Buat dan konfigurasikan pengguna dan grup di AWS Managed Microsoft AD direktori menggunakan alat Microsoft Active Directory. Untuk informasi selengkapnya tentang membuat pengguna dan grup di Active Directory Anda, lihat Kelola pengguna dan grup di AWS Managed Microsoft AD dalam Panduan Administrasi AWS Directory Service .

  4. Jika Anda berencana untuk menemukan direktori dan instans DB yang berbeda VPCs, aktifkan lalu lintas lintas VPC.

  5. Gunakan Amazon RDS untuk membuat instans SQL Server DB baru baik dari konsol AWS CLI, atau Amazon RDS API. Dalam permintaan pembuatan, Anda perlu menyediakan pengidentifikasi domain (pengidentifikasi "d-*") yang dihasilkan saat Anda membuat direktori dan nama peran yang Anda buat. Anda juga dapat memodifikasi instans DB SQL Server yang sudah ada untuk menggunakan Autentikasi Windows dengan mengatur domain dan parameter peran IAM untuk instans DB.

  6. Gunakan kredensial pengguna master Amazon RDS untuk terhubung ke SQL Server DB instance saat Anda melakukan DB instance lainnya. Karena instans DB bergabung ke AWS Managed Microsoft AD domain, Anda dapat menyediakan login SQL Server dan pengguna dari pengguna dan grup Active Directory di domain mereka. (Hal ini dikenal sebagai login “Windows” SQL Server.) Izin basis data dikelola melalui izin SQL Server standar yang diberikan dan dicabut ke login Windows ini.

Saat Anda membuat RDS yang terhubung dengan domain untuk instans SQL Server DB menggunakan konsol Amazon RDS, AWS secara otomatis membuat peran IAM. rds-directoryservice-access-role Peran ini penting untuk mengelola instans yang terhubung dengan domain dan diperlukan untuk operasi berikut:

  • Membuat perubahan konfigurasi pada instance SQL Server yang terhubung dengan domain

  • Mengelola pengaturan integrasi Direktori Aktif

  • Melakukan operasi pemeliharaan pada instans yang bergabung dengan domain

penting

Jika Anda menghapus peran rds-directoryservice-access-role IAM, Anda tidak dapat membuat perubahan pada instance SQL Server yang terhubung dengan domain melalui konsol Amazon RDS atau API. Mencoba memodifikasi instance menghasilkan pesan kesalahan yang menyatakan: Anda tidak memiliki izin untuk iam:. CreateRole Untuk meminta akses, salin teks berikut dan kirimkan ke AWS administrator Anda.

Kesalahan ini terjadi karena Amazon RDS perlu membuat ulang peran untuk mengelola koneksi domain, tetapi tidak memiliki izin yang diperlukan. Selain itu, kesalahan ini tidak masuk CloudTrail, yang dapat membuat pemecahan masalah menjadi lebih sulit.

Jika Anda secara tidak sengaja menghapusrds-directoryservice-access-role, Anda harus memiliki iam:CreateRole izin untuk membuatnya kembali sebelum Anda dapat membuat perubahan apa pun pada instance SQL Server yang terhubung dengan domain Anda. Untuk membuat ulang peran secara manual, pastikan itu memiliki kebijakan AmazonRDSDirectoryServiceAccess terkelola yang dilampirkan dan hubungan kepercayaan yang sesuai yang memungkinkan layanan RDS untuk mengambil peran tersebut.

Memulihkan instans DB SQL Server lalu menambahkannya ke domain

Anda dapat mengembalikan snapshot DB atau melakukan point-in-time pemulihan (PITR) untuk instance SQL Server DB dan kemudian menambahkannya ke domain. Setelah instans DB dipulihkan, modifikasi instans ini menggunakan proses yang dijelaskan dalam Langkah 5: Buat atau ubah instans DB SQL Server untuk menambahkan instans DB ke domain.