Utilizzo di AWS Managed Active Directory con RDS for SQL Server - Amazon Relational Database Service
Disponibilità di regioni e versioniPanoramica sulla configurazione dell'autenticazione di WindowsRipristino di un'istanza di database e aggiunta a un dominio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di AWS Managed Active Directory con RDS for SQL Server

Puoi utilizzarlo AWS Managed Microsoft AD per autenticare gli utenti con l'autenticazione di Windows quando si connettono alla tua istanza DB RDS for SQL Server. L'istanza DB funziona con AWS Directory Service for Microsoft Active Directory, chiamata anche AWS Managed Microsoft AD, per abilitare l'autenticazione di Windows. Quando gli utenti si autenticano con un'istanza SQL Server DB aggiunta al dominio trusting, le richieste di autenticazione vengono inoltrate alla directory di dominio con cui si crea. AWS Directory Service

Disponibilità di regioni e versioni

Amazon RDS supporta l'utilizzo solo AWS Managed Microsoft AD per l'autenticazione di Windows. RDSnon supporta l'utilizzo di AD Connector. Per ulteriori informazioni, consulta gli argomenti seguenti:

Per informazioni sulla disponibilità della versione e della regione, consulta Autenticazione Kerberos con RDS for SQL Server.

Panoramica sulla configurazione dell'autenticazione di Windows

Amazon RDS utilizza la modalità mista per l'autenticazione di Windows. Questo approccio significa che l'utente principale (il nome e la password utilizzati per creare l'istanza di SQL Server DB) utilizza SQL l'autenticazione. Poiché l'account utente master dispone di credenziali privilegiate, è necessario limitare l'accesso a tale account.

Per ottenere l'autenticazione di Windows utilizzando un Microsoft Active Directory in locale o autogestito, crea un trust tra foreste. La fiducia può essere a senso unico o bidirezionale. Per ulteriori informazioni sulla configurazione dei trust forestali utilizzando AWS Directory Service, vedere Quando creare una relazione di fiducia nella Guida all'AWS Directory Service amministrazione.

Per configurare l'autenticazione di Windows per un'istanza di SQL Server DB, procedi nel seguente modo, spiegato più dettagliatamente inConfigurazione dell'autenticazione Windows per le istanze SQL del database del server:

  1. Utilizzare AWS Managed Microsoft AD, da AWS Management Console o AWS Directory Service API, per creare una AWS Managed Microsoft AD directory.

  2. Se utilizzi AWS CLI o Amazon RDS API per creare la tua istanza SQL Server DB, crea un ruolo AWS Identity and Access Management (IAM). Questo ruolo utilizza la IAM policy gestita AmazonRDSDirectoryServiceAccess e consente RDS ad Amazon di effettuare chiamate alla tua rubrica. Se utilizzi la console per creare l'istanza di SQL Server DB, AWS crea il IAM ruolo per te.

    Affinché il ruolo consenta l'accesso, l'endpoint AWS Security Token Service (AWS STS) deve essere attivato nella AWS regione del tuo AWS account. AWS STS gli endpoint sono attivi per impostazione predefinita in tutte le AWS regioni e puoi utilizzarli senza ulteriori azioni. Per ulteriori informazioni, consulta Managing AWS STS in and Regione AWS in the IAMUser Guide.

  3. Crea e configura utenti e gruppi nella AWS Managed Microsoft AD directory utilizzando gli strumenti di Microsoft Active Directory. Per ulteriori informazioni sulla creazione di utenti in Active Directory, consulta Gestione di utenti e gruppi in AWS Managed Microsoft AD nella Guida all’amministrazione di AWS Directory Service .

  4. Se prevedi di collocare la directory e l'istanza DB in modo diversoVPCs, abilita il VPC traffico incrociato.

  5. Usa Amazon RDS per creare una nuova istanza SQL Server DB dalla console o da Amazon RDSAPI. AWS CLI Nella richiesta di creazione, fornisci l'identificatore di dominio ("d-*") generato durante la creazione della directory e il nome del ruolo creato. Puoi anche modificare un'istanza SQL Server DB esistente per utilizzare l'autenticazione di Windows impostando i parametri di dominio e IAM ruolo per l'istanza DB.

  6. Utilizza le credenziali dell'utente RDS master di Amazon per connetterti all'istanza DB SQL Server come fai con qualsiasi altra istanza DB. Poiché l'istanza DB è aggiunta al AWS Managed Microsoft AD dominio, puoi effettuare il provisioning degli accessi e degli utenti del SQL server dagli utenti e dai gruppi di Active Directory del relativo dominio. (Questi sono noti come accessi SQL al server «Windows».) Le autorizzazioni del database vengono gestite tramite le autorizzazioni standard SQL del server concesse e revocate a questi accessi di Windows.

Ripristino di un'istanza di SQL Server DB e successiva aggiunta a un dominio

È possibile ripristinare uno snapshot DB o eseguire point-in-time recovery (PITR) per un'istanza di SQL Server DB e quindi aggiungerla a un dominio. Dopo aver ripristinato l'istanza di database, modificala utilizzando il processo illustrato in Passaggio 5: creare o modificare un'istanza SQL Server DB per aggiungere l'istanza a un dominio.