Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Mengatur Autentikasi Windows untuk instans DB SQL Server
Anda menggunakan AWS Directory Service for Microsoft Active Directory, juga disebut AWS Managed Microsoft AD, untuk mengatur Otentikasi Windows untuk instans SQL Server DB. Untuk mengatur Autentikasi Windows, lakukan langkah-langkah berikut.
## Langkah 1: Buat direktori menggunakan AWS Directory Service for Microsoft Active Directory
Directory Service membuat Microsoft Active Directory yang dikelola sepenuhnya di AWS Cloud. Saat Anda membuat AWS Managed Microsoft AD direktori, Directory Service buat dua pengontrol domain dan server Domain Name Service (DNS) atas nama Anda. Server direktori dibuat dalam dua subnet di dua Zona Ketersediaan yang berbeda dalam sebuah VPC. Redundansi ini membantu memastikan bahwa direktori Anda tetap dapat diakses bahkan jika terjadi kegagalan.
Saat Anda membuat AWS Managed Microsoft AD direktori, Directory Service lakukan tugas-tugas berikut atas nama Anda:
+ Mengatur Microsoft Active Directory dengan VPC.
+ Membuat akun administrator direktori dengan Admin nama pengguna dan kata sandi yang ditentukan. Anda menggunakan akun ini untuk mengelola direktori Anda.
+ Membuat grup keamanan untuk pengontrol direktori.
Saat Anda meluncurkan AWS Directory Service for Microsoft Active Directory, AWS buat Unit Organisasi (OU) yang berisi semua objek direktori Anda. OU ini, yang memiliki nama NetBIOS yang Anda ketik saat membuat direktori Anda, terletak di root domain. Root domain dimiliki dan dikelola oleh AWS.
Akun *admin* yang dibuat dengan direktori AWS Managed Microsoft AD Anda memiliki izin untuk aktivitas administratif paling umum untuk OU Anda:
+ Membuat, memperbarui, atau menghapus pengguna, grup, dan komputer.
+ Menambahkan sumber daya ke domain Anda seperti server file atau cetak, lalu memberikan izin untuk sumber daya tersebut ke pengguna dan grup di OU Anda.
+ Buat tambahan OUs dan wadah.
+ Delegasikan otoritas.
+ Membuat dan menautkan kebijakan grup.
+ Memulihkan objek yang dihapus dari Keranjang Sampah Directory Active.
+ Jalankan PowerShell modul AD dan DNS Windows pada Layanan Web Direktori Aktif.
Akun admin juga memiliki hak untuk melakukan aktivitas di seluruh domain berikut:
+ Mengelola konfigurasi DNS (menambahkan, menghapus, atau memperbarui catatan, zona, dan penerus).
+ Lihat log peristiwa DNS.
+ Lihat log peristiwa keamanan.
**Untuk membuat direktori dengan AWS Managed Microsoft AD**
1. Di panel navigasi [konsol Directory Service](https://console.aws.amazon.com/directoryservicev2/), pilih **Direktori**, lalu pilih **Siapkan direktori**.
1. Pilih **AWS Managed Microsoft AD**. Ini adalah satu-satunya opsi yang saat ini didukung untuk digunakan dengan Amazon RDS.
1. Pilih **Berikutnya**.
1. Di halaman **Masukkan informasi direktori**, berikan informasi berikut:
**Edisi**
Pilih edisi sesuai kebutuhan Anda.
**Nama DNS direktori**
Nama yang sepenuhnya memenuhi syarat untuk direktori, seperti `corp.example.com`. Nama yang lebih panjang dari 47 karakter tidak didukung oleh SQL Server.
**Nama NetBIOS direktori**
Nama pendek opsional untuk direktori, seperti `CORP`.
**Deskripsi direktori**
Deskripsi opsional untuk direktori.
**Kata sandi admin**
Kata sandi untuk administrator direktori. Proses pembuatan direktori akan membuat akun administrator dengan nama pengguna Admin dan kata sandi ini.
Kata sandi administrator direktori tidak dapat menyertakan kata `admin`. Kata sandi peka huruf besar/kecil dan harus memiliki panjang 8–64 karakter. Kata sandi juga harus berisi minimal satu karakter dalam tiga dari empat kategori berikut:
+ Huruf kecil (a-z)
+ Huruf besar (A-Z)
+ Angka (0-9)
+ Karakter non-alfanumerik (\$1\$1@\$1\$1%^&\$1\$1-\$1=`\$1\$1()\$1\$1[]:;"'<>,.?/)
**Konfirmasi kata sandi**
Ketik ulang kata sandi administrator.
1. Pilih **Berikutnya**.
1. Di halaman **Pilih VPC dan subnet**, berikan informasi berikut:
**VPC**
Pilih VPC untuk direktori.
Anda dapat menemukan direktori dan instans DB secara berbeda VPCs, tetapi jika Anda melakukannya, pastikan untuk mengaktifkan lalu lintas lintas VPC. Untuk informasi selengkapnya, lihat [Langkah 4: Aktifkan lalu lintas antar-VPC antara direktori dan instans DB](#USER_SQLServerWinAuth.SettingUp.VPC-Peering).
**Subnet**
Pilih subnet untuk server direktori. Kedua subnet harus berada di Zona Ketersediaan yang berbeda.
1. Pilih **Berikutnya**.
1. Tinjau informasi direktori. Jika perubahan diperlukan, pilih **Sebelumnya**. Jika informasi sudah benar, pilih **Buat direktori**.
![\[Periksa dan buat halaman\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/UserGuide/images/WinAuth2.png)
Pembuatan direktori memerlukan waktu beberapa menit. Setelah berhasil dibuat, nilai **Status** berubah menjadi **Aktif**.
Untuk melihat informasi tentang direktori Anda, pilih ID direktori di daftar direktori. Catat **ID Direktori**. Anda memerlukan nilai ini saat membuat atau memodifikasi instans DB SQL Server Anda.
![\[Halaman detail direktori\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/UserGuide/images/WinAuth3.png)
## Langkah 2: Buat peran IAM yang akan digunakan oleh Amazon RDS
Jika Anda menggunakan konsol untuk membuat instans DB SQL Server, Anda dapat melewati langkah ini. Jika Anda menggunakan CLI atau API RDS untuk membuat instans DB SQL Server Anda, Anda harus membuat peran IAM yang menggunakan kebijakan IAM terkelola `AmazonRDSDirectoryServiceAccess`. Peran ini memungkinkan Amazon RDS untuk melakukan panggilan ke Directory Service untuk Anda.
Jika Anda menggunakan kebijakan khusus untuk bergabung dengan domain, daripada menggunakan `AmazonRDSDirectoryServiceAccess` kebijakan AWS-managed, pastikan Anda mengizinkan `ds:GetAuthorizedApplicationDetails` tindakan tersebut. Persyaratan ini berlaku mulai Juli 2019, karena adanya perubahan pada Directory Service API.
Kebijakan IAM berikut, `AmazonRDSDirectoryServiceAccess`, menyediakan akses ke Directory Service.
**Example Kebijakan IAM untuk menyediakan akses ke Directory Service**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"ds:DescribeDirectories",
"ds:AuthorizeApplication",
"ds:UnauthorizeApplication",
"ds:GetAuthorizedApplicationDetails"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
Sebaiknya gunakan kunci konteks kondisi global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) dan [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) dalam hubungan kepercayaan berbasis sumber daya untuk membatasi izin layanan ke sumber daya tertentu. Ini adalah cara yang paling efektif untuk melindungi dari [masalah confused deputy](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html).
Anda dapat menggunakan kedua kunci konteks kondisi global tersebut dan nilai `aws:SourceArn` berisi ID akun. Dalam hal ini, nilai `aws:SourceAccount` dan akun dalam nilai `aws:SourceArn` harus menggunakan ID akun yang sama saat digunakan dalam pernyataan yang sama.
+ Gunakan `aws:SourceArn` jika Anda menginginkan akses lintas layanan untuk satu sumber daya.
+ Gunakan `aws:SourceAccount` jika Anda ingin mengizinkan sumber daya apa pun di akun tersebut dikaitkan dengan penggunaan lintas layanan.
Dalam relasi kepercayaan, pastikan untuk menggunakan kunci konteks kondisi global `aws:SourceArn` dengan Amazon Resource Name (ARN) dari sumber daya yang mengakses peran. Untuk Autentikasi Windows, pastikan untuk menyertakan instans DB, seperti yang ditunjukkan pada contoh berikut.
**Example relasi kepercayaan dengan kunci konteks kondisi global untuk Autentikasi Windows**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "rds.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceArn": [
"arn:aws:rds:Region:my_account_ID:db:db_instance_identifier"
]
}
}
}
]
}
```
Buat peran IAM menggunakan kebijakan IAM ini dan relasi kepercayaan. Untuk informasi selengkapnya tentang pembuatan peran IAM, lihat [Membuat kebijakan yang dikelola pelanggan](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-using.html#create-managed-policy-console) dalam *Panduan Pengguna IAM*.
## Langkah 3: Buat dan konfigurasikan pengguna dan grup
Anda dapat membuat pengguna dan grup dengan alat Active Directory Users and Computers. Alat ini merupakan salah satu alat Active Directory Domain Services dan Active Directory Lightweight Directory Services. Pengguna merepresentasikan orang individu atau entitas yang memiliki akses ke direktori Anda. Grup sangat berguna untuk memberikan atau menolak hak akses ke grup pengguna, daripada harus menerapkan hak akses tersebut ke setiap pengguna.
Untuk membuat pengguna dan grup dalam Directory Service direktori, Anda harus terhubung ke instans Windows EC2 yang merupakan anggota Directory Service direktori. Anda juga harus masuk sebagai pengguna yang memiliki hak akses untuk membuat pengguna dan grup. Untuk informasi selengkapnya, lihat [Menambahkan pengguna dan grup (Simple AD dan AWS Managed Microsoft AD)](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/creating_ad_users_and_groups.html) di *Panduan AWS Directory Service Administrasi*.
## Langkah 4: Aktifkan lalu lintas antar-VPC antara direktori dan instans DB
Jika Anda ingin menempatkan direktori dan instans DB dalam VPC yang sama, lewati langkah ini dan lanjutkan ke [Langkah 5: Buat atau ubah instans DB SQL Server](#USER_SQLServerWinAuth.SettingUp.CreateModify).
[Jika Anda berencana untuk menemukan direktori dan instans DB yang berbeda VPCs, konfigurasikan lalu lintas lintas VPC menggunakan pengintip VPC atau Transit Gateway.AWS](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)
Prosedur berikut memungkinkan lalu lintas antara VPCs menggunakan VPC peering. Ikuti petunjuk di [Apa yang dimaksud dengan peering VPC?](https://docs.aws.amazon.com/vpc/latest/peering/Welcome.html) dalam *Panduan Peering Amazon Virtual Private Cloud*.
**Untuk mengaktifkan lalu lintas VPC menggunakan peering VPC**
1. Siapkan aturan perutean VPC yang sesuai untuk memastikan lalu lintas jaringan dapat berjalan dua arah.
1. Pastikan grup keamanan instans DB dapat menerima lalu lintas masuk dari grup keamanan direktori.
1. Pastikan bahwa tidak ada aturan Access Control List (ACL) jaringan untuk memblokir lalu lintas.
Jika AWS akun lain memiliki direktori, Anda harus berbagi direktori.
**Untuk berbagi direktori antar AWS akun**
1. *Mulai berbagi direktori dengan AWS akun tempat instans DB akan dibuat dengan mengikuti petunjuk di [Tutorial: Berbagi AWS Managed Microsoft AD direktori Anda untuk domain EC2 yang mulus dalam Panduan Administrasi](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/ms_ad_tutorial_directory_sharing.html).Directory Service *
1. Masuk ke Directory Service konsol menggunakan akun untuk instans DB, dan pastikan domain memiliki `SHARED` status sebelum melanjutkan.
1. Saat masuk ke Directory Service konsol menggunakan akun untuk instans DB, perhatikan nilai **ID Direktori**. Anda perlu menggunakan ID direktori ini untuk menggabungkan instans DB ke domain.
## Langkah 5: Buat atau ubah instans DB SQL Server
Buat atau ubah instans DB SQL Server untuk digunakan dengan direktori Anda. Anda dapat menggunakan konsol, CLI, atau API RDS untuk mengaitkan suatu instans DB dengan direktori. Anda dapat menyesuaikan waktu ini dengan cara berikut:
+ Buat instance SQL Server DB baru menggunakan konsol, perintah [create-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html)CLI, atau operasi DBInstance Create [RDS](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html) API.
Untuk petunjuk, lihat [Membuat instans DB Amazon RDS](USER_CreateDBInstance.md).
+ Ubah instance SQL Server DB yang ada menggunakan konsol, perintah [modify-db-instance](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html)CLI, atau operasi DBInstance Modify [RDS](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html) API.
Untuk petunjuk, lihat [Memodifikasi instans DB Amazon RDS](Overview.DBInstance.Modifying.md).
+ [Pulihkan instans SQL Server DB dari snapshot DB menggunakan konsol, perintah CLI [restore-db-instance-from-db-snapshot](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-from-db-snapshot.html), atau operasi Restore From RDS API. DBInstance DBSnapshot](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromDBSnapshot.html)
Untuk petunjuk, lihat [Memulihkan ke instans DB](USER_RestoreFromSnapshot.md).
+ Kembalikan instance SQL Server DB ke point-in-time menggunakan konsol, perintah [restore-db-instance-to- point-in-time](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-to-point-in-time.html) CLI, atau operasi DBInstance ToPointInTime Restore [RDS](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceToPointInTime.html) API.
Untuk petunjuk, lihat [Memulihkan instans DB ke waktu yang ditentukan untuk Amazon RDS](USER_PIT.md).
Autentikasi Windows hanya mendukung instans DB SQL Server di VPC.
Agar instans DB dapat menggunakan direktori domain yang Anda buat, hal berikut diperlukan:
+ Untuk **Direktori**, Anda harus memilih pengidentifikasi domain (`d-ID`) yang dibuat saat Anda membuat direktori.
+ Pastikan bahwa grup keamanan VPC memiliki aturan keluar yang memungkinkan instans DB berkomunikasi dengan direktori.
![\[Direktori Autentikasi Windows Microsoft SQL Server\]](http://docs.aws.amazon.com/id_id/AmazonRDS/latest/UserGuide/images/WinAuth1.png)
Saat Anda menggunakan AWS CLI, parameter berikut diperlukan agar instans DB dapat menggunakan direktori yang Anda buat:
+ Untuk parameter `--domain`, gunakan pengidentifikasi domain (`d-ID`) yang dihasilkan saat Anda membuat direktori.
+ Untuk parameter `--domain-iam-role-name`, gunakan peran yang Anda buat yang menggunakan kebijakan IAM terkelola `AmazonRDSDirectoryServiceAccess`.
Misalnya, perintah CLI berikut memodifikasi instans DB untuk menggunakan direktori.
Untuk Linux, macOS, atau Unix:
```
aws rds modify-db-instance \
--db-instance-identifier mydbinstance \
--domain d-ID \
--domain-iam-role-name role-name
```
Untuk Windows:
```
aws rds modify-db-instance ^
--db-instance-identifier mydbinstance ^
--domain d-ID ^
--domain-iam-role-name role-name
```
**penting**
Jika Anda memodifikasi instans DB untuk mengaktifkan autentikasi Kerberos, boot ulang instans DB tersebut setelah membuat perubahan.
## Langkah 6: Buat login SQL Server Autentikasi Windows
Gunakan kredensial pengguna master Amazon RDS untuk terhubung ke instans basis data SQL Server sebagaimana Anda lakukan dengan instans DB lain. Karena instans DB bergabung dengan AWS Managed Microsoft AD domain, Anda dapat menyediakan login dan pengguna SQL Server. Anda melakukannya dari pengguna dan grup Active Directory di domain Anda. Izin basis data dikelola melalui izin SQL Server standar yang diberikan dan dicabut ke login Windows ini.
Agar pengguna Active Directory dapat mengautentikasi dengan SQL Server, login Windows SQL Server harus ada untuk pengguna tersebut atau grup tempat pengguna tersebut menjadi anggota. Kontrol akses fine-grained akan ditangani melalui pemberian dan pencabutan izin pada login SQL Server ini. Pengguna yang tidak memiliki login SQL Server atau yang tidak termasuk dalam grup dengan login tersebut tidak akan dapat mengakses instans DB SQL Server.
Izin ALTER ANY LOGIN diperlukan untuk membuat login Active Directory SQL Server. Jika Anda belum membuat login apa pun dengan izin ini, hubungkan sebagai pengguna master instans DB menggunakan Autentikasi SQL Server.
Jalankan perintah bahasa definisi data (DDL) berikut untuk membuat login SQL Server untuk pengguna atau grup Directory Active.
**catatan**
Tentukan pengguna dan grup yang menggunakan nama login pra-Windows 2000 dalam format `domainName\login_name`. Anda tidak dapat menggunakan nama prinsipal pengguna (UPN) dalam format *`login_name`*`@`*`DomainName`*.
Anda hanya dapat membuat login Otentikasi Windows pada contoh RDS untuk SQL Server dengan menggunakan pernyataan T-SQL. Anda tidak dapat menggunakan studio Manajemen SQL Server untuk membuat login Otentikasi Windows.
```
USE [master]
GO
CREATE LOGIN [mydomain\myuser] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO
```
Untuk informasi selengkapnya, lihat [CREATE LOGIN (Transact-SQL)](https://msdn.microsoft.com/en-us/library/ms189751.aspx) dalam dokumentasi Microsoft Developer Network.
Pengguna (baik manusia maupun aplikasi) dari domain Anda kini dapat terhubung ke instans RDS for SQL Server dari mesin klien yang tergabung dengan domain menggunakan autentikasi Windows.