Menyiapkan Directory Active yang Dikelola Sendiri - Layanan Basis Data Relasional Amazon
Langkah 1: Buat Unit Organisasi di AD AndaLangkah 2: Buat pengguna domain AD di AD Anda.Langkah 3: Delegasikan kontrol ke pengguna AD.Langkah 3: Buat AWS KMS kunci.Langkah 3: Buat AWS rahasia.Langkah 6: Membuat atau memodifikasi instance SQL Server DBLangkah 7: Buat login Windows Authentication SQL Server

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menyiapkan Directory Active yang Dikelola Sendiri

Untuk mengatur AD yang Dikelola Sendiri, lakukan langkah-langkah berikut.

Langkah 1: Buat Unit Organisasi di AD Anda

penting

Sebaiknya buat kredensi OU dan layanan khusus yang tercakup pada OU tersebut untuk AWS akun apa pun yang memiliki instans RDS for SQL Server DB yang bergabung dengan domain AD yang dikelola sendiri. Dengan mengkhususkan kredensial OU dan layanan, Anda dapat menghindari izin yang bertentangan dan mengikuti prinsip hak akses paling rendah.

Untuk membuat OU di AD Anda

  1. Hubungkan ke domain AD Anda sebagai administrator domain.

  2. Buka Active Directory Users and Computers dan pilih domain tempat Anda ingin membuat OU Anda.

  3. Klik kanan domain dan pilih New, lalu Organizational Unit.

  4. Masukkan nama untuk OU.

  5. Biarkan kotak tetap dicentang untuk Protect container from accidental deletion.

  6. Klik OK. OU baru Anda akan muncul di bawah domain Anda.

Langkah 2: Buat pengguna domain AD di AD Anda

Kredensi pengguna domain akan digunakan untuk AWS rahasia di Secrets Manager.

Untuk membuat pengguna domain AD di AD Anda

  1. Buka Active Directory Users and Computers dan pilih domain dan OU tempat Anda ingin membuat pengguna Anda.

  2. Klik kanan objek Users dan pilih New, lalu User.

  3. Masukkan nama depan, nama belakang, dan nama login untuk pengguna. Klik Next.

  4. Masukkan kata sandi untuk pengguna. Jangan pilih "User must change password at next login". Jangan pilih "Account is disabled". Klik Next.

  5. Klik OK. Pengguna baru Anda akan muncul di bawah domain Anda.

Langkah 3: Delegasikan kontrol ke pengguna AD

Untuk mendelegasikan kontrol ke pengguna domain AD di domain Anda

  1. Buka Active Directory Users and Computers MMC snap-in dan pilih domain tempat Anda ingin membuat pengguna Anda.

  2. Klik kanan OU yang Anda buat sebelumnya dan pilih Delegate Control.

  3. Pada bagian Delegation of Control Wizard, klik Next.

  4. Pada bagian Users or Groups, klik Add.

  5. Pada bagian Select Users, Computers, or Groups, masukkan pengguna AD yang Anda buat lalu klik Check Names. Jika pemeriksaan pengguna AD Anda berhasil, klik OK.

  6. Pada bagian Users or Groups, konfirmasikan bahwa pengguna AD Anda telah ditambahkan lalu klik Next.

  7. Pada bagian Tasks to Delegate, pilih Create a custom task to delegate lalu klik Next.

  8. Pada bagian Active Directory Object Type:

    1. Pilih Only the following objects in the folder.

    2. Pilih Computer Objects.

    3. Pilih Create selected objects in this folder.

    4. Pilih Delete selected objects in this folder lalu klik Next.

  9. Pada bagian Permissions:

    1. Tetap pilih General.

    2. Pilih Tulis tervalidasi ke nama DNS host.

    3. Pilih Validated write to service principal name lalu klik Next.

  10. Untuk Completing the Delegation of Control Wizard, tinjau dan konfirmasikan pengaturan Anda lalu klik Finish.

Langkah 4: Buat AWS KMS kunci

KMSKuncinya digunakan untuk mengenkripsi AWS rahasia Anda.

Untuk membuat AWS KMS kunci
catatan

Untuk Kunci Enkripsi, jangan gunakan KMS kunci AWS default. Pastikan untuk membuat AWS KMS kunci di AWS akun yang sama yang berisi instans RDS untuk SQL Server DB yang ingin Anda gabungkan ke AD yang dikelola sendiri.

  1. Di AWS KMS konsol, pilih tombol Buat.

  2. Untuk Tipe Kunci, pilih Simetris.

  3. Untuk Penggunaan Kunci, pilih Enkripsi dan dekripsi.

  4. Untuk Opsi lanjutan:

    1. Untuk asal bahan utama, pilih KMS.

    2. Untuk Regionalitas, pilih Kunci Wilayah Tunggal lalu klik Berikutnya.

  5. Untuk Alias, berikan nama untuk KMS kuncinya.

  6. (Opsional) Untuk Deskripsi, berikan deskripsi KMS kunci.

  7. (Opsional) Untuk Tag, berikan tag KMS kunci dan klik Berikutnya.

  8. Untuk administrator Key, berikan nama IAM pengguna dan pilih.

  9. Untuk Penghapusan kunci, biarkan kotak dipilih untuk Izinkan administrator kunci untuk menghapus kunci ini lalu klik Berikutnya.

  10. Untuk pengguna Key, berikan IAM pengguna yang sama dari langkah sebelumnya dan pilih. Klik Berikutnya.

  11. Tinjau konfigurasi tersebut.

  12. Untuk Kebijakan kunci, sertakan yang berikut pada Pernyataan kebijakan:

    {
    "Sid": "Allow use of the KMS key on behalf of RDS",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "rds.amazonaws.com"
        ]
    },
    "Action": "kms:Decrypt",
    "Resource": "*"
}

  13. Klik Selesai.

Langkah 5: Buat AWS rahasia

Untuk membuat rahasia
catatan

Pastikan untuk membuat rahasia di AWS akun yang sama yang berisi instans RDS untuk SQL Server DB yang ingin Anda gabungkan ke AD yang dikelola sendiri.

  1. Di AWS Secrets Manager, pilih Simpan rahasia baru.

  2. Untuk Tipe rahasia, pilih Tipe rahasia lainnya.

  3. Untuk Pasangan kunci/nilai, tambahkan dua kunci Anda:

    1. Untuk kunci pertama, masukkan CUSTOMER_MANAGED_ACTIVE_DIRECTORY_USERNAME.

    2. Untuk nilai kunci pertama, masukkan nama pengguna AD yang Anda buat di domain Anda pada langkah sebelumnya.

    3. Untuk kunci kedua, masukkan CUSTOMER_MANAGED_ACTIVE_DIRECTORY_PASSWORD.

    4. Untuk nilai kunci kedua, masukkan kata sandi yang Anda buat untuk pengguna AD di domain Anda.

  4. Untuk kunci Enkripsi, masukkan KMS kunci yang Anda buat di langkah sebelumnya dan klik Berikutnya.

  5. Untuk Nama rahasia, masukkan nama deskriptif yang akan membantu Anda menemukan rahasia Anda nanti.

  6. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk nama rahasia.

  7. Untuk Izin sumber daya, klik Edit.

  8. Tambahkan kebijakan berikut ke kebijakan izin:

    catatan

    Kami menyarankan Anda menggunakan kondisi aws:sourceAccount dan aws:sourceArn dalam kebijakan untuk menghindari masalah confused deputy. Gunakan instans Akun AWS for aws:sourceAccount dan RDS for SQL Server DB Anda ARN untukaws:sourceArn. Untuk informasi selengkapnya, lihat Pencegahan masalah confused deputy lintas layanan.

    {
    "Version": "2012-10-17",
    "Statement":
    [
        {
            "Effect": "Allow",
            "Principal":
            {
                "Service": "rds.amazonaws.com"
            },
            "Action": "secretsmanager:GetSecretValue",
            "Resource": "*",
            "Condition":
            {
                "StringEquals":
                {
                    "aws:sourceAccount": "123456789012"
                },
                "ArnLike":
                {
                    "aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
                }
            }
        }
    ]
}

  9. Klik Simpan lalu klik Berikutnya.

  10. Untuk Konfigurasikan pengaturan rotasi, pertahankan nilai default dan pilih Berikutnya.

  11. Tinjau pengaturan untuk rahasia lalu klik Simpan.

  12. Pilih rahasia yang Anda buat dan salin nilai untuk Rahasia ARN. Nilai ini akan digunakan pada langkah berikutnya untuk mengatur Directory Active yang dikelola sendiri.

Langkah 6: Membuat atau memodifikasi instance SQL Server DB

Anda dapat menggunakan konsol,CLI, atau RDS API untuk mengaitkan instans RDS untuk SQL Server DB dengan domain AD yang dikelola sendiri. Anda dapat melakukannya dengan salah satu cara berikut:

Saat Anda menggunakan AWS CLI, parameter berikut diperlukan agar instans DB dapat menggunakan domain Active Directory yang dikelola sendiri yang Anda buat:

  • Untuk --domain-fqdn parameternya, gunakan nama domain (FQDN) yang sepenuhnya memenuhi syarat dari Active Directory yang dikelola sendiri.

  • Untuk parameter --domain-ou, gunakan OU yang Anda buat di AD yang dikelola sendiri.

  • Untuk --domain-auth-secret-arn parameter, gunakan nilai Rahasia ARN yang Anda buat pada langkah sebelumnya.

  • Untuk --domain-dns-ips parameter, gunakan IPv4 alamat primer dan sekunder DNS server untuk AD yang dikelola sendiri. Jika Anda tidak memiliki alamat IP DNS server sekunder, masukkan alamat IP utama dua kali.

Contoh CLI perintah berikut menunjukkan cara membuat, memodifikasi, dan menghapus instans RDS untuk SQL Server DB dengan domain AD yang dikelola sendiri.

penting

Jika Anda memodifikasi instans DB untuk menggabungkannya ke atau menghapusnya dari domain AD yang dikelola sendiri, boot ulang instans DB tersebut diperlukan agar modifikasi diterapkan. Anda dapat memilih untuk segera menerapkan perubahan atau menunggu hingga periode pemeliharaan berikutnya. Memilih opsi Terapkan Segera akan menyebabkan waktu henti untuk instans DB AZ Tunggal. Instans DB Multi-AZ akan melakukan failover sebelum menyelesaikan boot ulang. Untuk informasi selengkapnya, lihat Menggunakan pengaturan modifikasi jadwal.

CLIPerintah berikut membuat instance DB SQL Server baru RDS dan menggabungkannya ke domain AD yang dikelola sendiri.

Untuk Linux, macOS, atau Unix:

aws rds create-db-instance \
    --db-instance-identifier my-DB-instance \
    --db-instance-class db.m5.xlarge \
    --allocated-storage 50 \
    --engine sqlserver-se \
    --engine-version 15.00.4043.16.v1 \
    --license-model license-included \
    --master-username my-master-username \
    --master-user-password my-master-password \
    --domain-fqdn my_AD_domain.my_AD.my_domain \
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Untuk Windows:

aws rds create-db-instance ^
    --db-instance-identifier my-DB-instance ^
    --db-instance-class db.m5.xlarge ^
    --allocated-storage 50 ^
    --engine sqlserver-se ^
    --engine-version 15.00.4043.16.v1 ^
    --license-model license-included ^
    --master-username my-master-username ^
    --master-user-password my-master-password ^
    --domain-fqdn my-AD-test.my-AD.mydomain ^
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ ^
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

CLIPerintah berikut memodifikasi instans SQL Server DB yang ada RDS untuk menggunakan domain Active Directory yang dikelola sendiri.

Untuk Linux, macOS, atau Unix:

aws rds modify-db-instance \
    --db-instance-identifier my-DB-instance \
    --domain-fqdn my_AD_domain.my_AD.my_domain \
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ 
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Untuk Windows:

aws rds modify-db-instance ^
    --db-instance-identifier my-DBinstance ^
    --domain-fqdn my_AD_domain.my_AD.my_domain ^
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" ^ 
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

CLIPerintah berikut menghapus instance RDS untuk SQL Server DB dari domain Active Directory yang dikelola sendiri.

Untuk Linux, macOS, atau Unix:

aws rds modify-db-instance \
    --db-instance-identifier my-DB-instance \
    --disable-domain

Untuk Windows:

aws rds modify-db-instance ^
    --db-instance-identifier my-DB-instance ^
    --disable-domain

Langkah 7: Buat login Windows Authentication SQL Server

Gunakan kredenal pengguna RDS master Amazon untuk terhubung ke instans SQL Server DB seperti yang Anda lakukan untuk instans DB lainnya. Karena instans DB digabungkan ke domain AD yang dikelola sendiri, Anda dapat menyediakan login dan pengguna SQL Server. Anda melakukannya dari utilitas pengguna dan grup AD di domain AD yang dikelola sendiri. Izin database dikelola melalui izin SQL Server standar yang diberikan dan dicabut ke login Windows ini.

Agar pengguna AD yang dikelola sendiri dapat mengautentikasi dengan SQL Server, login SQL Server Windows harus ada untuk pengguna AD yang dikelola sendiri atau grup Direktori Aktif yang dikelola sendiri yang menjadi anggotanya. Kontrol akses berbutir halus ditangani melalui pemberian dan pencabutan izin pada login Server ini. SQL Pengguna AD yang dikelola sendiri yang tidak memiliki login SQL Server atau termasuk dalam grup AD yang dikelola sendiri dengan login semacam itu tidak dapat mengakses instans SQL Server DB.

ALTERANYLOGINIzin diperlukan untuk membuat login SQL Server AD yang dikelola sendiri. Jika Anda belum membuat login dengan izin ini, sambungkan sebagai pengguna utama instans DB menggunakan Otentikasi SQL Server dan buat login SQL Server AD yang dikelola sendiri di bawah konteks pengguna utama.

Anda dapat menjalankan perintah data definition language (DDL) seperti berikut ini untuk membuat login SQL Server untuk pengguna atau grup AD yang dikelola sendiri.

catatan

Tentukan pengguna dan grup yang menggunakan nama login pra-Windows 2000 dalam format my_AD_domain\my_AD_domain_user. Anda tidak dapat menggunakan nama utama pengguna (UPN) dalam format My_ad_domain_user@My_ad_Domain.

USE [master]
GO
CREATE LOGIN [my_AD_domain\my_AD_domain_user] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO

Untuk informasi selengkapnya, lihat CREATELOGIN(Transact-SQL) di dokumentasi Microsoft Developer Network.

Pengguna (baik manusia maupun aplikasi) dari domain Anda sekarang dapat terhubung ke instance RDS for SQL Server dari mesin klien yang bergabung dengan domain AD yang dikelola sendiri menggunakan otentikasi Windows.