Bekerja dengan Direktori Aktif AWS Terkelola dengan RDS for SQL Server - Layanan Basis Data Relasional Amazon
Wilayah dan ketersediaan versiGambaran umum pengaturan autentikasi WindowsMemulihkan instans DB dan menambahkannya ke domain

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Bekerja dengan Direktori Aktif AWS Terkelola dengan RDS for SQL Server

Anda dapat menggunakan AWS Managed Microsoft AD untuk mengautentikasi pengguna dengan Windows Authentication ketika mereka terhubung ke instans DB SQL Server AndaRDS. Instans DB bekerja dengan AWS Directory Service for Microsoft Active Directory, juga disebut AWS Managed Microsoft AD, untuk mengaktifkan Windows Authentication. Saat pengguna mengautentikasi dengan instans SQL Server DB yang bergabung dengan domain yang dipercaya, permintaan otentikasi diteruskan ke direktori domain yang Anda buat. AWS Directory Service

Wilayah dan ketersediaan versi

Amazon RDS mendukung penggunaan hanya AWS Managed Microsoft AD untuk Windows Authentication. RDStidak mendukung penggunaan AD Connector. Untuk informasi selengkapnya, lihat berikut ini:

Untuk informasi tentang ketersediaan versi dan Wilayah, lihat otentikasi Kerberos dengan RDS for Server. SQL

Gambaran umum pengaturan autentikasi Windows

Amazon RDS menggunakan mode campuran untuk Otentikasi Windows. Pendekatan ini berarti bahwa pengguna master (nama dan kata sandi yang digunakan untuk membuat instance SQL Server DB Anda) menggunakan SQL Otentikasi. Karena akun pengguna master adalah kredensial istimewa, Anda harus membatasi akses ke akun ini.

Untuk mendapatkan Autentikasi Windows menggunakan Microsoft Active Directory on-premise atau yang di-host sendiri, buat sebuah forest trust. Trust dapat bersifat satu atau dua arah. Untuk informasi selengkapnya tentang menyiapkan trust hutan AWS Directory Service, lihat Kapan membuat hubungan kepercayaan dalam Panduan AWS Directory Service Administrasi.

Untuk mengatur otentikasi Windows untuk instans SQL Server DB, lakukan langkah-langkah berikut, dijelaskan secara lebih rinci diMenyiapkan Otentikasi Windows untuk instans SQL Server DB:

  1. Gunakan AWS Managed Microsoft AD, baik dari AWS Management Console atau AWS Directory Service API, untuk membuat AWS Managed Microsoft AD direktori.

  2. Jika Anda menggunakan AWS CLI atau Amazon RDS API untuk membuat instance SQL Server DB, buat peran AWS Identity and Access Management (IAM). Peran ini menggunakan IAM kebijakan terkelola AmazonRDSDirectoryServiceAccess dan RDS memungkinkan Amazon melakukan panggilan ke direktori Anda. Jika Anda menggunakan konsol untuk membuat instans SQL Server DB, AWS buat IAM peran untuk Anda.

    Agar peran mengizinkan akses, titik akhir AWS Security Token Service (AWS STS) harus diaktifkan di AWS Wilayah untuk AWS akun Anda. AWS STS endpoint aktif secara default di semua AWS Wilayah, dan Anda dapat menggunakannya tanpa tindakan lebih lanjut. Untuk informasi selengkapnya, lihat Mengelola AWS STSWilayah AWS dalam Panduan IAM Pengguna.

  3. Buat dan konfigurasikan pengguna dan grup di AWS Managed Microsoft AD direktori menggunakan alat Microsoft Active Directory. Untuk informasi selengkapnya tentang membuat pengguna dan grup di Active Directory Anda, lihat Kelola pengguna dan grup di AWS Managed Microsoft AD dalam Panduan Administrasi AWS Directory Service .

  4. Jika Anda berencana untuk menemukan direktori dan instans DB yang berbedaVPCs, aktifkan lintas lalu VPC lintas.

  5. Gunakan Amazon RDS untuk membuat instans SQL Server DB baru baik dari konsol AWS CLI, atau Amazon RDSAPI. Dalam permintaan pembuatan, Anda perlu menyediakan pengidentifikasi domain (pengidentifikasi "d-*") yang dihasilkan saat Anda membuat direktori dan nama peran yang Anda buat. Anda juga dapat memodifikasi instans SQL Server DB yang ada untuk menggunakan Windows Authentication dengan menyetel parameter domain dan IAM peran untuk instans DB.

  6. Gunakan kredensyal pengguna RDS master Amazon untuk terhubung ke instans SQL Server DB seperti yang Anda lakukan pada instans DB lainnya. Karena instans DB bergabung dengan AWS Managed Microsoft AD domain, Anda dapat menyediakan login SQL Server dan pengguna dari pengguna dan grup Direktori Aktif di domain mereka. (Ini dikenal sebagai login SQL Server “Windows”.) Izin database dikelola melalui izin SQL Server standar yang diberikan dan dicabut ke login Windows ini.

Memulihkan instance SQL Server DB dan kemudian menambahkannya ke domain

Anda dapat memulihkan snapshot DB atau melakukan point-in-time recovery (PITR) untuk instance SQL Server DB dan kemudian menambahkannya ke domain. Setelah instans DB dipulihkan, modifikasi instans ini menggunakan proses yang dijelaskan dalam Langkah 5: Membuat atau memodifikasi instance SQL Server DB untuk menambahkan instans DB ke domain.