Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Die Verwendung von Kerberos Authentifizierung für Amazon RDS für Db2

PDF
RSS
Fokusmodus
Die Verwendung von Kerberos Authentifizierung für Amazon RDS für Db2 - Amazon Relational Database Service
Verfügbarkeit von Regionen und VersionenÜberblick über Kerberos Authentifizierung für DB-InstancesVerwalten einer DB-Instance in einer Domäne

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Sie können Folgendes verwenden … Kerberos Authentifizierung zur Authentifizierung von Benutzern, wenn sie sich mit Ihrer Amazon RDS for Db2-DB-Instance verbinden. Ihre DB-Instance arbeitet mit AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD), um Folgendes zu aktivieren Kerberos Authentifizierung. Wenn sich Benutzer mit einer RDS for Db2-DB-Instance authentifizieren, die mit der vertrauenden Domäne verbunden ist, werden Authentifizierungsanforderungen an das Verzeichnis weitergeleitet, mit dem Sie sie erstellen. AWS Directory Service Weitere Informationen finden Sie unter Was ist AWS Directory Service im AWS Directory Service -Administratorhandbuch.

Erstellen Sie zunächst ein AWS Managed Microsoft AD Verzeichnis zum Speichern von Benutzeranmeldedaten. Fügen Sie dann die Domäne und andere Informationen Ihres AWS Managed Microsoft AD Verzeichnisses zu Ihrer RDS for Db2-DB-Instance hinzu. Wenn sich Benutzer bei der RDS for Db2-DB-Instance authentifizieren, werden Authentifizierungsanfragen an das Verzeichnis weitergeleitet. AWS Managed Microsoft AD

Wenn Sie alle Ihre Anmeldeinformationen im selben Verzeichnis aufbewahren, können Sie Zeit und Mühe sparen. Mit diesem Ansatz haben Sie einen zentralen Ort für die Speicherung und Verwaltung von Anmeldedaten für mehrere DB-Instances. Die Verwendung eines Verzeichnisses kann auch Ihr allgemeines Sicherheitsprofil verbessern.

Für Informationen über Kerberos Authentifizierung finden Sie in den folgenden Themen.

Themen

Verfügbarkeit von Regionen und Versionen

Die Verfügbarkeit von Funktionen und der Support variieren zwischen bestimmten Versionen der einzelnen Datenbank-Engines und in allen AWS-Regionen. Weitere Informationen zur Version und regionalen Verfügbarkeit von RDS für Db2 finden Sie mit Kerberos Authentifizierung finden Sie unterUnterstützte Regionen und DB-Engines für die Kerberos-Authentifizierung in Amazon RDS.

Anmerkung

Kerberos Die Authentifizierung wird nicht für DB-Instance-Klassen unterstützt, die RDS für Db2-DB-Instances veraltet sind. Weitere Informationen finden Sie unter Amazon RDS für Db2-Instance-Klassen.

Überblick über Kerberos Authentifizierung RDS für Db2-DB-Instances

So führen Sie die Einrichtung durch: Kerberos Führen Sie bei der Authentifizierung RDS für eine DB2-DB-Instance die folgenden allgemeinen Schritte aus, die später ausführlicher beschrieben werden:

  1. Wird verwendet AWS Managed Microsoft AD , um ein AWS Managed Microsoft AD Verzeichnis zu erstellen. Sie können das AWS Management Console, das AWS Command Line Interface (AWS CLI) oder verwenden, AWS Directory Service um das Verzeichnis zu erstellen. Weitere Informationen finden Sie unter AWS Managed Microsoft AD Verzeichnis erstellen im AWS Directory Service Administratorhandbuch.

  2. Erstellen Sie eine Rolle AWS Identity and Access Management (IAM), die die verwaltete IAM Richtlinie verwendetAmazonRDSDirectoryServiceAccess. Die IAM Rolle ermöglicht es AmazonRDS, Ihr Verzeichnis aufzurufen.

    Damit die IAM Rolle Zugriff gewährt, muss der Endpunkt AWS Security Token Service (AWS STS) in der AWS-Region für Sie richtigen Weise aktiviert sein AWS-Konto. AWS STS Endpunkte sind standardmäßig in allen aktiv AWS-Regionen, und Sie können sie ohne weitere Aktionen verwenden. Weitere Informationen finden Sie unter Aktivieren und Deaktivieren AWS STSAWS-Region im IAMBenutzerhandbuch.

  3. Erstellen oder ändern Sie eine RDS for Db2-DB-Instance, indem Sie die AWS Management Console AWS CLI, die oder die RDS API mit einer der folgenden Methoden verwenden:

    Sie können die DB-Instance in derselben Amazon Virtual Private Cloud (VPC) wie das Verzeichnis oder in einem anderen AWS-Konto oder lokalisierenVPC. Wenn Sie die RDS for Db2-DB-Instance erstellen oder ändern, führen Sie die folgenden Aufgaben aus:

    • Geben Sie den Domänenbezeichner (d-*-Bezeichner) an, der beim Erstellen Ihres Verzeichnisses generiert wurde.

    • Geben Sie den Namen der IAM Rolle ein, die Sie erstellt haben.

    • Stellen Sie sicher, dass die DB-Instance-Sicherheitsgruppe eingehenden Datenverkehr von der Verzeichnissicherheitsgruppe empfangen kann.

  4. Konfigurieren Sie Ihren Db2-Client und stellen Sie sicher, dass der Datenverkehr zwischen dem Client-Host und AWS Directory Service für die folgenden Ports fließen kann:

    • TCP/UDPPort 53 — DNS

    • TCP88 — Kerberos Authentifizierung

    • TCP389 — LDAP

    • TCP464 — Kerberos Authentifizierung

Verwalten einer DB-Instance in einer Domäne

Sie können das AWS Management Console, das oder das verwenden AWS CLI, RDS API um Ihre DB-Instance und ihre Beziehung zu Ihrem Microsoft Active Directory. Sie können beispielsweise eine zuordnen Active Directory um zu aktivieren Kerberos Authentifizierung. Sie können die Zuordnung auch für eine entfernen Active Directory zu deaktivieren Kerberos Authentifizierung. Sie können eine DB-Instance auch so verschieben, dass sie extern von einer Instanz authentifiziert wird Microsoft Active Directory zu einer anderen.

Zum Beispiel beim Ausführen des modify-db-instanceCLIMit dem Befehl können Sie die folgenden Aktionen ausführen:

  • Versuchen Sie erneut, es zu aktivieren Kerberos Authentifizierung für eine fehlgeschlagene Mitgliedschaft, indem Sie die Verzeichnis-ID der aktuellen Mitgliedschaft für die --domain Option angeben.

  • Deaktivieren Kerberos Authentifizierung auf einer DB-Instance durch Angabe none für die --domain Option.

  • Verschieben Sie eine DB-Instance von einer Domain in eine andere, indem Sie die Domain-ID der neuen Domain für die --domain Option angeben.

Grundlegendes zur Domänenmitgliedschaft

Nachdem Sie Ihre DB-Instance erstellt oder geändert haben, wird sie Mitglied der Domäne. Sie können den Status der Domänenmitgliedschaft in der Konsole anzeigen oder indem Sie den Befehl ausführen describe-db-instancesBefehl. Der Status der DB-Instance kann einer der folgenden sein:

  • kerberos-enabled— Die DB-Instance hat Kerberos Authentifizierung aktiviert.

  • enabling-kerberos— AWS wird gerade aktiviert Kerberos Authentifizierung auf dieser DB-Instance.

  • pending-enable-kerberos— Aktivieren Kerberos Die Authentifizierung für diese DB-Instance steht noch aus.

  • pending-maintenance-enable-kerberos— AWS wird versuchen zu aktivieren Kerberos Authentifizierung auf der DB-Instance während des nächsten geplanten Wartungsfensters.

  • pending-disable-kerberos— Deaktivierung Kerberos Die Authentifizierung für diese DB-Instance steht noch aus.

  • pending-maintenance-disable-kerberos— AWS wird versuchen zu deaktivieren Kerberos Authentifizierung auf der DB-Instance während des nächsten geplanten Wartungsfensters.

  • enable-kerberos-failed— Ein Konfigurationsproblem hat die Aktivierung AWS verhindert Kerberos Authentifizierung auf der DB-Instance. Korrigieren Sie das Konfigurationsproblem, bevor Sie den Befehl zum Ändern der DB-Instance erneut ausgeben.

  • disabling-kerberos— AWS ist gerade dabei, zu deaktivieren Kerberos Authentifizierung auf dieser DB-Instance.

Eine Anfrage zur Aktivierung Kerberos Die Authentifizierung kann aufgrund eines Problems mit der Netzwerkkonnektivität oder einer falschen IAM Rolle fehlschlagen. In einigen Fällen ist der Versuch, dies zu aktivieren Kerberos Die Authentifizierung schlägt möglicherweise fehl, wenn Sie eine DB-Instance erstellen oder ändern. Stellen Sie in diesem Fall sicher, dass Sie die richtige IAM Rolle verwenden, und ändern Sie dann die DB-Instance so, dass sie der Domäne beitritt.

Auf dieser Seite

Related resources

Amazon RDS API-Referenz
AWS CLI Befehle für Amazon RDS
SDKs und Werkzeuge 

Related resources

Amazon RDS API-Referenz
AWS CLI Befehle für Amazon RDS
SDKs und Werkzeuge 
DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.