Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation Kerberos authentification pour Amazon RDS pour Db2
Vous pouvez utiliser … Kerberos authentification pour authentifier les utilisateurs lorsqu'ils se connectent à votre instance de base de données Amazon RDS pour Db2. Votre instance de base de données fonctionne avec AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) pour activer Kerberos authentification. Lorsque les utilisateurs s'authentifient avec une instance de base de données RDS for DB2 jointe au domaine de confiance, les demandes d'authentification sont transmises au répertoire avec lequel vous créez. AWS Directory Service Pour plus d'informations, consultez Qu'est-ce qu' AWS Directory Service ? dans le Guide de l'utilisateur AWS Directory Service .
Créez d'abord un AWS Managed Microsoft AD répertoire pour stocker les informations d'identification des utilisateurs. Ajoutez ensuite le domaine et les autres informations de votre AWS Managed Microsoft AD répertoire à votre instance de base de données RDS for Db2. Lorsque les utilisateurs s'authentifient auprès de l'instance de base de données RDS for Db2, les demandes d'authentification sont transmises à l' AWS Managed Microsoft AD annuaire.
Vous pouvez gagner du temps et de l'argent en conservant toutes les informations d'identification dans le même annuaire. Cette approche vous permet d'avoir un endroit centralisé de stockage et de gestion des informations d'identification pour plusieurs instances de base de données. L'utilisation d'un annuaire peut également améliorer votre profil de sécurité global.
Pour plus d'informations sur Kerberos authentification, consultez les rubriques suivantes.
Rubriques
Disponibilité des régions et des versions
La disponibilité et la prise en charge des fonctionnalités varient selon les versions spécifiques de chaque moteur de base de données, et selon les Régions AWS. Pour plus d'informations sur la disponibilité des versions et des régions de RDS for DB2 avec Kerberos authentification, voirRégions et moteurs de base de données pris en charge pour l'authentification Kerberos sur Amazon RDS.
Note
Kerberos l'authentification n'est pas prise en charge pour les classes d'instance de base de données déconseillées RDS pour les instances de base de données DB2. Pour de plus amples informations, veuillez consulter Amazon RDS pour les classes d'instance DB2.
Vue d'ensemble de Kerberos authentification RDS pour les instances de base de données DB2
Pour configurer Kerberos authentification RDS pour une instance de base de données pour DB2, effectuez les étapes générales suivantes, qui sont décrites plus en détail ultérieurement :
-
AWS Managed Microsoft AD À utiliser pour créer un AWS Managed Microsoft AD répertoire. Vous pouvez utiliser le AWS Management Console, le AWS Command Line Interface (AWS CLI) ou AWS Directory Service pour créer le répertoire. Pour plus d'informations, consultez la section Création de votre AWS Managed Microsoft AD répertoire dans le Guide d'AWS Directory Service administration.
-
Créez un rôle AWS Identity and Access Management (IAM) qui utilise la IAM politique gérée
AmazonRDSDirectoryServiceAccess. Le IAM rôle permet RDS à Amazon de passer des appels vers votre annuaire.Pour que le IAM rôle autorise l'accès, le point de terminaison AWS Security Token Service (AWS STS) doit être activé correctement Région AWS pour votre Compte AWS. AWS STS les points de terminaison sont actifs par défaut dans tous les cas Régions AWS, et vous pouvez les utiliser sans autre action. Pour plus d'informations, voir Activation et désactivation AWS STS dans et dans le guide de l'IAMutilisateur. Région AWS
-
Créez ou modifiez une instance de base de données RDS pour DB2 en utilisant le AWS Management Console AWS CLI, le ou RDS API avec l'une des méthodes suivantes :
-
Créez une nouvelle instance de base de données RDS pour DB2 à l'aide de la console, create-db-instancecommande, ou l'reateDBInstanceAPIopération C. Pour obtenir des instructions, consultez Création d'une RDS instance de base de données Amazon.
-
Modifiez une instance de base de données RDS pour DB2 existante à l'aide de la console, modify-db-instancecommande, ou le ModifyDBInstanceAPIopération. Pour obtenir des instructions, consultez Modification d'une RDS instance de base de données Amazon.
-
Restaurez une instance de base de données RDS pour DB2 à partir d'un instantané de base de données à l'aide de la console, le restore-db-instance-from-db-snapshotcommande, ou le RestoreDBInstanceFromDBSnapshotAPIopération. Pour obtenir des instructions, consultez Restauration vers une instance de base de données.
-
Restaurez une instance de base de données RDS for DB2 sur une à point-in-time l'aide de la console, restore-db-instance-to-point-in-timecommande, ou le RestoreDBInstanceToPointInTimeAPIopération. Pour obtenir des instructions, consultez Restauration d'une instance de base de données à une heure spécifiée pour Amazon RDS.
Vous pouvez localiser l'instance de base de données dans le même Amazon Virtual Private Cloud (VPC) que le répertoire ou dans un autre Compte AWS ouVPC. Lorsque vous créez ou modifiez l'instance de base de données RDS for Db2, effectuez les tâches suivantes :
-
Fournissez l'identifiant du domaine (identifiant
d-*) qui a été généré lors de la création de votre annuaire. -
Indiquez le nom du IAM rôle que vous avez créé.
-
Vérifiez que le groupe de sécurité de l'instance de base de données peut recevoir du trafic entrant en provenance du groupe de sécurité de l'annuaire.
-
-
Configurez votre client DB2 et vérifiez que le trafic peut circuler entre l'hôte du client et AWS Directory Service pour les ports suivants :
-
TCP/UDPport 53 — DNS
-
TCP88 — Kerberos authentification
-
TCP389 — LDAP
-
TCP464 — Kerberos authentification
-
Gestion d'une instance de base de données dans un domaine
Vous pouvez utiliser le AWS Management Console AWS CLI, le ou le RDS API pour gérer votre instance de base de données et sa relation avec votre Microsoft Active Directory. Par exemple, vous pouvez associer un Active Directory pour activer Kerberos authentification. Vous pouvez également supprimer l'association pour un Active Directory pour désactiver Kerberos authentification. Vous pouvez également déplacer une instance de base de données pour qu'elle soit authentifiée de manière externe par une Microsoft Active Directory à un autre.
Par exemple, en utilisant modify-db-instanceCLIcommande, vous pouvez effectuer les actions suivantes :
Réessayez d'activer Kerberos authentification en cas d'échec d'une adhésion en spécifiant l'ID de répertoire de l'adhésion actuelle pour l'
--domainoption.-
Désactiver Kerberos authentification sur une instance de base de données en spécifiant
nonel'--domainoption. -
Déplacez une instance de base de données d'un domaine à un autre en spécifiant l'identifiant de domaine du nouveau domaine pour l'
--domainoption.
Présentation de l'appartenance au domaine
Après la création ou la modification de votre instance de base de données, elle devient un membre du domaine. Vous pouvez consulter le statut de l'appartenance au domaine dans la console ou en exécutant le describe-db-instancescommande. Le statut de l'instance de base de données peut avoir les valeurs suivantes :
-
kerberos-enabled— L'instance de base de données a Kerberos authentification activée. -
enabling-kerberos— AWS est en cours d'activation Kerberos authentification sur cette instance de base de données. -
pending-enable-kerberos— Activation Kerberos l'authentification est en attente sur cette instance de base de données. -
pending-maintenance-enable-kerberos— AWS tentera d'activer Kerberos authentification sur l'instance de base de données lors de la prochaine fenêtre de maintenance planifiée. -
pending-disable-kerberos— Désactivation Kerberos l'authentification est en attente sur cette instance de base de données. -
pending-maintenance-disable-kerberos— AWS tentera de désactiver Kerberos authentification sur l'instance de base de données lors de la prochaine fenêtre de maintenance planifiée. -
enable-kerberos-failed— Un problème de configuration a AWS empêché l'activation Kerberos authentification sur l'instance de base de données. Corrigez le problème de configuration avant de réémettre la commande pour modifier l'instance de base de données. -
disabling-kerberos— AWS est en cours de désactivation Kerberos authentification sur cette instance de base de données.
Une demande d'activation Kerberos l'authentification peut échouer en raison d'un problème de connectivité réseau ou d'un IAM rôle incorrect. Dans certains cas, la tentative d'activation Kerberos l'authentification peut échouer lorsque vous créez ou modifiez une instance de base de données. Dans ce cas, vérifiez que vous utilisez le bon IAM rôle, puis modifiez l'instance de base de données pour qu'elle rejoigne le domaine.
