Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisation d'Active Directory AWS géré avec RDS pour SQL Server
Vous pouvez l'utiliser AWS Managed Microsoft AD pour authentifier les utilisateurs avec l'authentification Windows lorsqu'ils se connectent à votre instance de base de données RDS pour SQL Server. L'instance de base de données fonctionne avec AWS Directory Service for Microsoft Active Directory, également appelée AWS Managed Microsoft AD, pour activer l'authentification Windows. Lorsque les utilisateurs s'authentifient à une instance de base de données SQL Server jointe au domaine d'approbation, les demandes d'authentification sont transmises à l'annuaire de domaine que vous créez avec Directory Service.
## Disponibilité des régions et des versions
Amazon RDS prend en charge l'utilisation uniquement AWS Managed Microsoft AD pour l'authentification Windows. RDS ne prend pas en charge l'utilisation AD Connector. Pour plus d'informations, consultez les ressources suivantes :
+ [Politique de compatibilité des applications pour AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_app_compatibility.html)
+ [Politique de compatibilité des applications pour AD Connector](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ad_connector_app_compatibility.html)
Pour obtenir des informations sur la disponibilité des versions, consultez [Authentification Kerberos avec RDS for SQL Server](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Concepts.RDS_Fea_Regions_DB-eng.Feature.KerberosAuthentication.html#Concepts.RDS_Fea_Regions_DB-eng.Feature.KerberosAuthentication.sq).
## Présentation de la configuration de l'authentification Windows
Amazon RDS utilise le mode mixte pour l'authentification Windows. Cette approche signifie que l'*utilisateur principal *(nom et mot de passe utilisés pour créer votre instance de base de données SQL Server) utilise l'authentification SQL. Étant donné que le compte utilisateur principal comporte des informations d'identification privilégiées, vous devez limiter l'accès à ce compte.
Pour obtenir l'authentification Windows à l'aide d'un compte Microsoft Active Directory sur site ou auto-géré, créez une approbation de forêt. L'approbation peut être unidirectionnelle ou bidirectionnelle. Pour plus d'informations sur la configuration des approbations forestières [à l'aide Directory Service de la section Quand créer une relation de confiance](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_setup_trust.html) dans le *Guide d'AWS Directory Service administration*.
Pour configurer l’authentification Windows pour une instance de base de données SQL Server, procédez comme suit. Les étapes sont expliquées de façon plus détaillée dans [Configuration de l'authentification Windows pour les instances de base de données SQL Server](USER_SQLServerWinAuth.SettingUp.md) :
1. AWS Managed Microsoft AD Utilisez-le, soit depuis l' AWS Management Console Directory Service API, soit pour créer un AWS Managed Microsoft AD répertoire.
1. Si vous utilisez l'API AWS CLI ou Amazon RDS pour créer votre instance de base de données SQL Server, créez un rôle Gestion des identités et des accès AWS (IAM). Ce rôle utilise la stratégie IAM gérée `AmazonRDSDirectoryServiceAccess` et autorise Amazon RDS à effectuer des appels vers votre annuaire. Si vous utilisez la console pour créer votre instance de base de données SQL Server, AWS crée le rôle IAM pour vous.
Pour que le rôle autorise l'accès, le point de terminaison AWS Security Token Service (AWS STS) doit être activé dans la AWS région de votre AWS compte. AWS STS les points de terminaison sont actifs par défaut dans toutes les AWS régions, et vous pouvez les utiliser sans autre action. Pour plus d’informations, consultez [Gestion de AWS STS dans une Région AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html) dans le *Guide de l’utilisateur IAM*.
1. Créez et configurez des utilisateurs et des groupes dans l' AWS Managed Microsoft AD annuaire à l'aide des outils Microsoft Active Directory. Pour plus d'informations sur la création d'utilisateurs et de groupes dans votre Active Directory, consultez [Gérer les utilisateurs et les groupes dans AWS Managed Microsoft AD](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_manage_users_groups.html) dans le *Guide d'administration AWS Directory Service *.
1. Si vous prévoyez de localiser le répertoire et l'instance de base de données dans un emplacement différent VPCs, activez le trafic inter-VPC.
1. Utilisez Amazon RDS pour créer une nouvelle instance de base de données SQL Server à partir de la console ou de l'API Amazon RDS. AWS CLI Dans la demande de création, vous indiquez l'identifiant du domaine (identifiant « `d-*` ») généré lors de la création de votre annuaire, ainsi que le nom du rôle que vous avez créé. Vous pouvez également modifier une instance de base de données SQL Server pour qu'elle utilise l'authentification Windows en configurant les paramètres de domaine et de rôle IAM de l'instance de base de données.
1. Utilisez les informations d'identification de l'utilisateur principal Amazon RDS pour vous connecter à l'instance de base de données SQL Server de la même manière qu'à n'importe quelle instance de base de données. Comme l'instance de base de données est jointe au AWS Managed Microsoft AD domaine, vous pouvez configurer des connexions et des utilisateurs SQL Server à partir des utilisateurs et des groupes Active Directory de leur domaine. (Ceux-ci sont connus sous le nom de connexions SQL Server « Windows ».) Les autorisations pour la base de données sont gérées via des autorisations SQL Server standard accordées et révoquées en fonction des connexions Windows.
Lorsque vous créez une instance de base de données RDS pour SQL Server connectée à un domaine à l'aide de la console Amazon RDS, le rôle IAM est AWS automatiquement créé. `rds-directoryservice-access-role` Ce rôle est essentiel pour gérer les instances connectées au domaine et est requis pour les opérations suivantes :
+ Apporter des modifications de configuration aux instances SQL Server connectées à un domaine
+ Gestion des paramètres de l’intégration d’Active Directory
+ Réalisation d’opérations de maintenance sur des instances jointes à un domaine
**Important**
Si vous supprimez le rôle IAM `rds-directoryservice-access-role`, vous ne pouvez pas apporter de modifications à votre instance SQL Server connectée au domaine via la console ou l’API Amazon RDS. Toute tentative de modification de l'instance entraîne l'affichage d'un message d'erreur indiquant : Vous n'êtes pas autorisé à utiliser iam : CreateRole. Pour demander l'accès, copiez le texte suivant et envoyez-le à votre AWS administrateur.
Cette erreur se produit, car Amazon RDS doit recréer le rôle pour gérer la connexion au domaine, mais ne dispose pas des autorisations nécessaires. De plus, cette erreur n'est pas enregistrée CloudTrail, ce qui peut compliquer le dépannage.
Si vous le supprimez accidentellement `rds-directoryservice-access-role`, vous devez avoir les autorisations `iam:CreateRole` pour le recréer avant de pouvoir apporter des modifications à votre instance SQL Server connectée au domaine. Pour recréer le rôle manuellement, assurez-vous qu’il est associé à la politique gérée `AmazonRDSDirectoryServiceAccess` et à la relation de confiance appropriée permettant au service RDS d’assumer le rôle.
# Création d'un point de terminaison pour l'authentification Kerberos
L'authentification basée sur Kerberos nécessite que le point de terminaison soit le nom d'hôte spécifié par le client, un point, puis le nom de domaine complet (FQDN). Par exemple, l'exemple suivant illustre un point de terminaison à utiliser avec l'authentification basée sur Kerberos. Dans cet exemple, le nom d'hôte de l'instance de base de données SQL Server est `ad-test` et le nom de domaine est `corp-ad.company.com` :
```
ad-test.corp-ad.company.com
```
Pour vérifier que votre connexion utilise Kerberos, exécutez la requête suivante :
```
1. SELECT net_transport, auth_scheme
2. FROM sys.dm_exec_connections
3. WHERE session_id = @@SPID;
```
# Configuration de l'authentification Windows pour les instances de base de données SQL Server
Vous utilisez AWS Directory Service for Microsoft Active Directory, également appelé AWS Managed Microsoft AD, pour configurer l'authentification Windows pour une instance de base de données SQL Server. Pour configurer l'authentification Windows, procédez comme suit.
## Étape 1 : créer un répertoire à l'aide du AWS Directory Service for Microsoft Active Directory
Directory Service crée un Microsoft Active Directory entièrement géré dans le AWS cloud. Lorsque vous créez un AWS Managed Microsoft AD annuaire, il Directory Service crée deux contrôleurs de domaine et des serveurs DNS (Domain Name Service) en votre nom. Les serveurs de répertoire sont créés dans deux sous-réseaux sur deux zones de disponibilité différentes avec un VPC. Cette redondance permet de s'assurer que votre répertoire reste accessible y compris en cas de défaillance.
Lorsque vous créez un AWS Managed Microsoft AD répertoire, Directory Service exécute les tâches suivantes en votre nom :
+ Configuration de Microsoft Active Directory dans le VPC.
+ Création d'un compte d'administrateur d'annuaire avec le nom d'utilisateur Admin et le mot de passe spécifié. Ce compte est utilisé pour gérer votre annuaire.
+ Création d’un groupe de sécurité pour les contrôleurs de l’annuaire.
Lorsque vous lancez un AWS Directory Service for Microsoft Active Directory, AWS crée une unité organisationnelle (UO) qui contient tous les objets de votre répertoire. Cette unité organisationnelle, qui porte le nom NetBIOS que vous avez saisi lorsque vous avez créé votre annuaire, est située dans la racine du domaine. La racine du domaine est détenue et gérée par AWS.
Le compte *admin* qui a été créé avec votre annuaire AWS Managed Microsoft AD dispose des autorisations pour les activités administratives les plus courantes pour votre unité organisationnelle :
+ Créer, mettre à jour ou supprimer des utilisateurs, des groupes et des ordinateurs
+ Ajouter des ressources à votre domaine, comme des serveurs de fichiers ou d’impression, puis attribuer des autorisations pour ces ressources aux utilisateurs et groupes dans votre unité organisationnelle.
+ Créez OUs des conteneurs supplémentaires.
+ Déléguer des autorités.
+ Créer et associer des stratégies de groupes.
+ Restaurer des objets supprimés de la corbeille Active Directory.
+ Exécutez les PowerShell modules Windows AD et DNS sur le service Web Active Directory.
Le compte admin dispose également de droits pour exécuter les activités suivantes au niveau du domaine :
+ Gérer les configurations DNS (ajouter, supprimer ou mettre à jour des enregistrements, des zones et des redirecteurs)
+ Afficher les journaux d'événements DNS.
+ Afficher les journaux d'événements de sécurité.
**Pour créer un répertoire avec AWS Managed Microsoft AD**
1. Dans le panneau de navigation de la [console Directory Service](https://console.aws.amazon.com/directoryservicev2/), choisissez **Annuaires**, puis **Configurer un annuaire**.
1. Choisissez **AWS Managed Microsoft AD**. Il s'agit de la seule option prise en charge actuellement pour être utilisée avec Amazon RDS.
1. Choisissez **Suivant**.
1. Sur la page **Enter directory information** (Saisir les détails du répertoire), renseignez les informations suivantes :
**Edition**
Choisissez l’édition qui correspond à vos besoins.
**Nom de DNS de l’annuaire**
Nom complet de l'annuaire, par exemple `corp.example.com`. Les noms de plus de 47 caractères ne sont pas pris en charge par SQL Server.
**Nom NetBIOS de l'annuaire**
Nom court facultatif pour l’annuaire, par exemple `CORP`.
**Description de l’annuaire**
Description facultative de l’annuaire.
**Mot de passe administrateur**
Mot de passe de l'administrateur de l'annuaire. Le processus de création d’un annuaire crée un compte d’administrateur avec le nom d’utilisateur Admin et ce mot de passe.
Le mot de passe de l'administrateur de l'annuaire ne peut pas inclure le terme `admin`. Le mot de passe est sensible à la casse et doit comporter entre 8 et 64 caractères. Il doit également contenir au moins un caractère de trois des quatre catégories suivantes :
+ Lettres minuscules (a-z)
+ Lettres majuscules (A-Z)
+ Chiffres (0-9)
+ Caractères non alphanumériques (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
**Confirmer le mot de passe**
Saisissez à nouveau le mot de passe de l'administrateur.
1. Choisissez **Suivant**.
1. Sur la page **Choose VPC and subnets** (Choisir un VPC et des sous-réseaux), indiquez les informations suivantes :
**VPC**
Sélectionnez le VPC pour l’annuaire.
Vous pouvez localiser le répertoire et l'instance de base de données différemment VPCs, mais dans ce cas, assurez-vous d'activer le trafic inter-VPC. Pour de plus amples informations, veuillez consulter [Étape 4 : Activer le trafic entre VPC entre le répertoire et l'instance de base de données](#USER_SQLServerWinAuth.SettingUp.VPC-Peering).
**Sous-réseaux**
Choisissez les sous-réseaux pour les serveurs d’annuaires. Les deux sous-réseaux doivent être dans des zones de disponibilité différentes.
1. Choisissez **Suivant**.
1. Vérifiez les informations de l'annuaire. Si vous devez apporter des modifications, choisissez **Previous (Précédent)**. Lorsque les informations sont correctes, choisissez **Create directory (Créer l'annuaire)**.
![\[Vérification et création de la page\]](http://docs.aws.amazon.com/fr_fr/AmazonRDS/latest/UserGuide/images/WinAuth2.png)
La création de l'annuaire prend plusieurs minutes. Lorsqu’il est créé, la valeur du champ **Statut** devient **Actif**.
Pour consulter les informations relatives à votre annuaire, choisissez l'ID de l'annuaire dans la liste. Notez la valeur de **ID de l'annuaire**. Vous en aurez besoin pour créer ou modifier votre instance de base de données SQL Server.
![\[Page de détails de l'annuaire\]](http://docs.aws.amazon.com/fr_fr/AmazonRDS/latest/UserGuide/images/WinAuth3.png)
## Étape 2 : Créer le rôle IAM qui sera utilisé par Amazon RDS
Si vous utilisez la console pour créer votre instance de base de données SQL Server, vous pouvez ignorer cette étape. Si vous utilisez la CLI ou l'API RDS pour créer votre instance de base de données SQL Server, vous devez créer un rôle IAM qui utilise la stratégie IAM gérée `AmazonRDSDirectoryServiceAccess`. Ce rôle permet à Amazon RDS de passer des appels Directory Service pour vous.
Si vous utilisez une politique personnalisée pour rejoindre un domaine, au lieu d'utiliser la `AmazonRDSDirectoryServiceAccess` politique AWS-managed, assurez-vous d'autoriser l'`ds:GetAuthorizedApplicationDetails`action. Cette exigence est effective à partir de juillet 2019, en raison d'une modification de l' Directory Service API.
La stratégie IAM suivante, `AmazonRDSDirectoryServiceAccess`, permet d'accéder à Directory Service.
**Example Politique IAM pour fournir l'accès à Directory Service**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ds:DescribeDirectories",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:GetAuthorizedApplicationDetails"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
Nous vous recommandons d’utiliser les clés de contexte de condition globale [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) et [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) dans des relations d’approbation basées sur les ressources pour limiter les autorisations du service à une ressource spécifique. C’est le moyen le plus efficace de se protéger contre le [problème du député confus](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
Vous pouvez utiliser les deux clés de contexte de condition globale et faire en sorte que la valeur `aws:SourceArn` contienne l'ID de compte. Dans ce cas, la valeur `aws:SourceAccount` et le compte dans la valeur `aws:SourceArn` doivent utiliser le même ID de compte lorsqu'ils sont utilisés dans la même instruction.
+ Utilisez `aws:SourceArn` si vous souhaitez un accès interservices pour une seule ressource.
+ Utilisez `aws:SourceAccount` si vous souhaitez autoriser une ressource de ce compte à être associée à l’utilisation interservices.
Dans la relation d'approbation, assurez-vous d'utiliser la clé de contexte de condition globale `aws:SourceArn` avec l'Amazon Resource Name (ARN) complet des ressources qui accèdent au rôle. Pour l'authentification Windows, veillez à inclure les instances de base de données, comme illustré dans l'exemple suivant.
**Example relation d'approbation avec la clé de contexte de condition globale pour l'authentification Windows**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "rds.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceArn": [
"arn:aws:rds:Region:my_account_ID:db:db_instance_identifier"
]
}
}
}
]
}
```
Créez un rôle IAM à l'aide de cette politique IAM et de cette relation d'approbation. Pour plus d’informations sur la création de rôles IAM, consultez [Création de stratégies gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html#create-managed-policy-console) dans le *Guide de l’utilisateur IAM*.
## Étape 3 : Créer et configurer des utilisateurs et des groupes
Vous pouvez créer des utilisateurs et des groupes à l’aide de l’outil Active Directory Users and Computers. Cet outil fait partie des outils Services AD DS (Active Directory Domain Services) et Services AD LDS (Active Directory Lightweight Directory Services). Les utilisateurs représentent des individus ou des entités individuelles qui ont accès à votre annuaire. Les groupes sont très utiles pour octroyer ou refuser des privilèges à des groupes d'utilisateurs, plutôt que d'appliquer ces privilèges à chaque utilisateur.
Pour créer des utilisateurs et des groupes dans un Directory Service annuaire, vous devez être connecté à une instance Windows EC2 membre de l' Directory Service annuaire. Vous devez également être connecté en tant qu'utilisateur disposant de privilèges pour créer des utilisateurs et des groupes. Pour plus d'informations, consultez la section [Ajouter des utilisateurs et des groupes (Simple AD et AWS Managed Microsoft AD)](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/creating_ad_users_and_groups.html) dans le *Guide d'AWS Directory Service administration*.
## Étape 4 : Activer le trafic entre VPC entre le répertoire et l'instance de base de données
Si vous avez l'intention de rechercher l'annuaire et l'instance de base de données dans le même VPC, ignorez cette étape et passez à [Étape 5 : Créer ou modifier une instance de base de données SQL Server](#USER_SQLServerWinAuth.SettingUp.CreateModify).
[Si vous prévoyez de localiser le répertoire et l'instance de base de données différemment VPCs, configurez le trafic inter-VPC à l'aide du peering VPC ou de Transit Gateway.AWS](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
La procédure suivante active le trafic entre les utilisateurs de VPCs l'appairage VPC. Suivez les instructions de [Qu’est-ce que l’appairage de VPC ?](https://docs.aws.amazon.com/vpc/latest/peering/Welcome.html) dans le *Guide de l’appairage Amazon Virtual Private Cloud*.
**Pour activer le trafic entre VPC à l’aide de l’appairage de VPC**
1. Configurez les règles de routage de VPC appropriées afin de veiller à ce que le trafic réseau puisse être acheminé dans les deux sens.
1. Assurez-vous que le groupe de sécurité de l'instance de base de données puisse recevoir le trafic entrant depuis le groupe de sécurité de cet annuaire.
1. Assurez-vous qu’il n’existe aucune règle de liste de contrôle d’accès (ACL) pour bloquer le trafic.
Si le répertoire appartient à un autre AWS compte, vous devez le partager.
**Pour partager le répertoire entre AWS comptes**
1. *Commencez à partager le répertoire avec le AWS compte dans lequel l'instance de base de données sera créée en suivant les instructions du [Tutoriel : Partage de votre AWS Managed Microsoft AD répertoire pour une connexion fluide à un domaine EC2 dans le Directory Service Guide](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_directory_sharing.html) d'administration.*
1. Connectez-vous à la Directory Service console à l'aide du compte de l'instance de base de données et assurez-vous que le domaine possède le `SHARED` statut requis avant de continuer.
1. Lorsque vous êtes connecté à la Directory Service console à l'aide du compte de l'instance de base de données, notez la valeur de l'**ID du répertoire**. Vous utilisez cet ID d’annuaire pour joindre l’instance de base de données au domaine.
## Étape 5 : Créer ou modifier une instance de base de données SQL Server
Créez ou modifiez une instance de base de données SQL Server en vue de son utilisation avec votre annuaire. Vous pouvez utiliser la console, la CLI ou l'API RDS pour associer une instance de base de données à un annuaire. Vous pouvez effectuer cette opération de différentes manières :
+ Créez une nouvelle instance de base de données SQL Server à l'aide de la console, de la commande [create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html)CLI ou de l'opération [Create DBInstance](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html) RDS API.
Pour obtenir des instructions, veuillez consulter [Création d'une instance de base de données Amazon RDS](USER_CreateDBInstance.md).
+ Modifiez une instance de base de données SQL Server existante à l'aide de la console, de la commande [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html)CLI ou de l'opération [DBInstanceModify](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) RDS API.
Pour obtenir des instructions, veuillez consulter [Modification d'une instance de base de données Amazon RDS](Overview.DBInstance.Modifying.md).
+ Restaurez une instance de base de données SQL Server à partir d'un instantané de base de données à l'aide de la console, de la commande CLI [restore-db-instance-from-db-snapshot](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-from-db-snapshot.html) ou de [l'opération DBInstance Restore DBSnapshot From](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromDBSnapshot.html) RDS API.
Pour obtenir des instructions, veuillez consulter [Restauration d’une instance de base de données](USER_RestoreFromSnapshot.md).
+ Restaurez une instance de base de données SQL Server à point-in-time l'aide de la console, de la commande [restore-db-instance-to- point-in-time](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-to-point-in-time.html) CLI ou de l'opération [Restore DBInstance ToPointInTime](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceToPointInTime.html) RDS API.
Pour obtenir des instructions, veuillez consulter [Restauration d’une instance de base de données à un instant précis pour Amazon RDS](USER_PIT.md).
L'authentification Windows est uniquement prise en charge pour les instances de base de données SQL dans un VPC.
Pour que l'instance de base de données puisse utiliser l'annuaire de domaine que vous avez créé, les éléments suivants sont nécessaires :
+ Pour **Annuaire**, vous devez choisir l'identifiant du domaine (`d-ID`) généré lors de la création de l'annuaire.
+ Assurez-vous que le groupe de sécurité VPC dispose d'une règle sortante qui permet à l'instance de base de données de communiquer avec l'annuaire.
![\[Annuaire d'authentification Windows à Microsoft SQL Server\]](http://docs.aws.amazon.com/fr_fr/AmazonRDS/latest/UserGuide/images/WinAuth1.png)
Lorsque vous utilisez le AWS CLI, les paramètres suivants sont requis pour que l'instance de base de données puisse utiliser le répertoire que vous avez créé :
+ Pour le paramètre `--domain`, vous devez indiquer l'identifiant du domaine (`d-ID`) généré lors de la création de l'annuaire.
+ Pour le paramètre `--domain-iam-role-name`, utilisez le rôle que vous avez créé qui utilise la stratégie IAM gérée `AmazonRDSDirectoryServiceAccess`.
Par exemple, la commande de CLI suivante modifie une instance de base de données de façon à utiliser un annuaire.
Pour Linux, macOS ou Unix :
```
aws rds modify-db-instance \
--db-instance-identifier mydbinstance \
--domain d-ID \
--domain-iam-role-name role-name
```
Pour Windows :
```
aws rds modify-db-instance ^
--db-instance-identifier mydbinstance ^
--domain d-ID ^
--domain-iam-role-name role-name
```
**Important**
Si vous modifiez une instance de base de données de façon à activer l’authentification Kerberos, redémarrez l’instance de base de données après avoir effectué la modification.
## Étape 6 : Créer des connexions SQL Server pour l'authentification Windows
Utilisez les informations d'identification de l'utilisateur principal Amazon RDS pour vous connecter à l'instance de base de données SQL Server de la même manière qu'à n'importe quelle instance de base de données. Comme l'instance de base de données est jointe au AWS Managed Microsoft AD domaine, vous pouvez configurer des connexions et des utilisateurs SQL Server. Vous effectuez cette opération à partir des utilisateurs et groupes Active Directory de votre domaine. Les autorisations pour la base de données sont gérées via des autorisations SQL Server standard accordées et révoquées en fonction des connexions Windows.
Pour qu'un utilisateur Active Directory puisse s'authentifier à SQL Server, une connexion Windows SQL Server doit exister pour l'utilisateur ou un groupe dont l'utilisateur est membre. Un contrôle précis des accès est géré par l'attribution ou la révocation d'autorisations pour ces connexions SQL Server. Un utilisateur qui n'a pas de connexion SQL Server ou qui n'appartient pas à un groupe avec une telle connexion ne peut pas accéder à l'instance de base de données SQL Server.
L'autorisation ALTER ANY LOGIN est requise pour créer une connexion SQL Server Active Directory. Si vous n'avez pas créé de connexion avec cette autorisation, connectez vous en tant qu'utilisateur principal de l'instance de base de données à l'aide de l'authentification SQL Server.
Exécutez une commande DDL (Data Definition Language) telle que l'exemple suivant afin de créer une connexion SQL Server pour un utilisateur ou un groupe Active Directory.
**Note**
Spécifiez les utilisateurs et les groupes à l'aide du nom de connexion antérieur à Windows 2000 au format `domainName\login_name`. Vous ne pouvez pas utiliser un nom d'utilisateur principal (UPN) au format *`login_name`*`@`*`DomainName`*.
Vous ne pouvez créer une connexion d’authentification Windows sur une instance RDS for SQL Server qu’à l’aide d’instructions T-SQL. Vous ne pouvez pas utiliser SQL Server Management Studio pour créer une connexion d’authentification Windows.
```
USE [master]
GO
CREATE LOGIN [mydomain\myuser] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO
```
Pour plus d'informations, consultez [CREATE LOGIN (Transact-SQL)](https://msdn.microsoft.com/en-us/library/ms189751.aspx) dans la documentation de Microsoft Developer Network.
Les utilisateurs (personnes et applications) de votre domaine peuvent désormais se connecter à l'instance RDS for SQL Server à partir d'un ordinateur client joint au domaine à l'aide de l'authentification Windows.
# Gestion d'une instance de base de données dans un domaine
Vous pouvez utiliser la console ou l'API Amazon RDS pour gérer votre instance de base de données et sa relation avec votre domaine. AWS CLI Par exemple, vous pouvez déplacer l'instance de base de données dans, hors ou entre des domaines.
Par exemple, l'API Amazon RDS vous permet d'effectuer les actions suivantes :
+ Pour réessayer de joindre un domaine en raison d'un échec d'adhésion, utilisez l'opération [DBInstanceModify](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) API et spécifiez l'ID de répertoire de l'adhésion actuelle.
+ Pour mettre à jour le nom du rôle IAM de l'appartenance, utilisez l'opération d'API `ModifyDBInstance` et spécifiez l'ID d'annuaire de l'appartenance actuelle et le nouveau rôle IAM.
+ Pour supprimer une instance de base de données d'un domaine, utilisez l'opération d'API `ModifyDBInstance` et spécifiez `none` pour le paramètre de domaine.
+ Pour déplacer une instance de base de données d'un domaine à un autre, utilisez l'opération d'API `ModifyDBInstance` et spécifiez l'identifiant du nouveau domaine en tant que paramètre de domaine.
+ Pour répertorier les membres de chaque instance de base de données, utilisez l'opération d'DBInstancesAPI [Describe](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/DescribeDBInstances.html).
## Présentation de l'appartenance au domaine
Après la création ou la modification de votre instance de base de données, l'instance devient un membre du domaine. La AWS console indique le statut de l'appartenance au domaine pour l'instance de base de données. Le statut de l’instance de base de données peut avoir les valeurs suivantes :
+ **joined**–L'instance est membre du domaine.
+ **joining**–L'instance est en train de devenir membre du domaine.
+ **pending-join** – L'appartenance de l'instance est en attente.
+ **pending-maintenance-join**— AWS tentera de faire de l'instance un membre du domaine lors de la prochaine fenêtre de maintenance planifiée.
+ **pending-removal**–La suppression de l'instance du domaine est en attente.
+ **pending-maintenance-removal**— AWS tentera de supprimer l'instance du domaine lors de la prochaine fenêtre de maintenance planifiée.
+ **failed**–Un problème de configuration a empêché l'instance d'effectuer la jonction du domaine. Vérifiez et corrigez votre configuration avant d'émettre à nouveau la commande de modification de l'instance.
+ **removing**–La suppression de l'instance du domaine est en cours.
Une demande visant à devenir membre d'un domaine peut échouer à cause d'un problème de connectivité réseau ou d'un rôle IAM incorrect. Par exemple, vous pouvez créer une instance de base de données ou modifier une instance existante et faire échouer la tentative pour que l'instance de base de données devienne membre d'un domaine. Dans ce cas, émettez à nouveau la commande pour créer ou modifier l'instance de base de données, ou modifiez l'instance nouvellement créée pour rejoindre le domaine.
# Connexion à SQL Server avec l'authentification Windows
Pour vous connecter à SQL Server via l'authentification Windows, vous devez être connecté à un ordinateur joint au domaine en tant qu'utilisateur de domaine. Après le lancement de SQL Server Management Studio, choisissez le type d'authentification **Windows Authentication**, comme illustré ci-après.
![\[Se connecter à SQL Server en utilisant l'authentification Windows\]](http://docs.aws.amazon.com/fr_fr/AmazonRDS/latest/UserGuide/images/WinAuth4.png)
## Restauration d'une instance de base de données SQL Server puis ajout de cette instance à un domaine
Vous pouvez restaurer un instantané de base de données ou effectuer une point-in-time restauration (PITR) pour une instance de base de données SQL Server, puis l'ajouter à un domaine. Une fois que l'instance de base de données est restaurée, modifiez l'instance à l'aide du processus expliqué dans [Étape 5 : Créer ou modifier une instance de base de données SQL Server](USER_SQLServerWinAuth.SettingUp.md#USER_SQLServerWinAuth.SettingUp.CreateModify) afin d'ajouter l'instance de base de données à un domaine.