Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo Kerberos autenticazione per Amazon RDS for Db2
È possibile utilizzare… Kerberos autenticazione per autenticare gli utenti quando si connettono alla tua istanza database Amazon RDS for Db2. La tua istanza DB funziona con AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) per abilitare Kerberos autenticazione. Quando gli utenti si autenticano con un'istanza DB RDS for Db2 aggiunta al dominio trusting, le richieste di autenticazione vengono inoltrate alla directory con cui si crea. AWS Directory Service Per ulteriori informazioni, consulta Cos'è AWS Directory Service? nella Guida per l'amministrazione di AWS Directory Service .
Innanzitutto, create una AWS Managed Microsoft AD directory per memorizzare le credenziali dell'utente. Quindi, aggiungi il dominio e altre informazioni della tua AWS Managed Microsoft AD directory all'istanza database RDS for Db2. Quando gli utenti si autenticano con l'istanza DB RDS for Db2, le richieste di autenticazione vengono inoltrate alla directory. AWS Managed Microsoft AD
Mantenere tutte le credenziali nella stessa directory consente di ridurre il tempo e l'impegno. Con questo approccio, è disponibile una posizione centralizzata per archiviare e gestire le credenziali per più istanze database. L'uso di una directory può inoltre migliorare il profilo di sicurezza complessivo.
Per informazioni su Kerberos autenticazione, consulta i seguenti argomenti.
Argomenti
Disponibilità di regioni e versioni
Il supporto varia a seconda delle versioni specifiche di ciascun motore di database e a seconda delle Regioni AWS. Per ulteriori informazioni sulla disponibilità della versione e della regione di RDS for Db2 con Kerberos autenticazione, vedereRegioni e motori DB supportati per l'autenticazione Kerberos in Amazon RDS.
Nota
Kerberos l'autenticazione non è supportata per le classi di istanze DB che sono obsolete RDS per le istanze DB Db2. Per ulteriori informazioni, consulta Amazon RDS per classi di istanze Db2.
Panoramica di Kerberos autenticazione RDS per istanze DB Db2
Per configurare Kerberos per l'autenticazione di un'istanza DB RDS for Db2, completa i seguenti passaggi generali, descritti più dettagliatamente in seguito:
-
Utilizzare AWS Managed Microsoft AD per creare una AWS Managed Microsoft AD directory. È possibile utilizzare il AWS Management Console, the AWS Command Line Interface (AWS CLI) o AWS Directory Service per creare la directory. Per ulteriori informazioni, consulta Create your AWS Managed Microsoft AD directory nella AWS Directory Service Administration Guide.
-
Crea un ruolo AWS Identity and Access Management (IAM) che utilizzi la IAM policy gestita
AmazonRDSDirectoryServiceAccess. Il IAM ruolo consente RDS ad Amazon di effettuare chiamate verso la tua rubrica.Affinché il IAM ruolo consenta l'accesso, l'endpoint AWS Security Token Service (AWS STS) deve essere attivato nel modo corretto Regione AWS per te Account AWS. AWS STS Gli endpoint sono attivi per impostazione predefinita in tutti Regioni AWS gli ambienti e puoi utilizzarli senza ulteriori azioni. Per ulteriori informazioni, consulta Attivazione e disattivazione AWS STSRegione AWS in un capitolo della Guida per l'utente. IAM
-
Crea o modifica un'istanza database RDS for Db2 utilizzando il AWS Management Console AWS CLI, il o il RDS API con uno dei seguenti metodi:
-
Crea una nuova istanza DB RDS for Db2 utilizzando la console, la create-db-instancecomando o l'reateDBInstanceAPIoperazione C. Per istruzioni, consulta Creazione di un'istanza Amazon RDS DB.
-
Modifica un'istanza database esistente RDS di For Db2 utilizzando la console, la modify-db-instancecomando o ModifyDBInstanceAPIoperazione. Per istruzioni, consulta Modifica di un'istanza Amazon RDS DB.
-
Ripristina un'istanza DB RDS for Db2 da un'istantanea del DB utilizzando la console, la restore-db-instance-from-db-snapshotcomando o RestoreDBInstanceFromDBSnapshotAPIoperazione. Per istruzioni, consulta Ripristino su un'istanza DB.
-
Ripristina un'istanza RDS di For Db2 DB su una point-in-time utilizzando la console, restore-db-instance-to-point-in-timecomando o RestoreDBInstanceToPointInTimeAPIoperazione. Per istruzioni, consulta Ripristino di un'istanza DB a un'ora specificata per Amazon RDS.
Puoi localizzare l'istanza DB nella stessa directory Amazon Virtual Private Cloud (VPC) o in un altro Account AWS oVPC. Quando crei o modifichi l'istanza DB RDS for Db2, esegui le seguenti attività:
-
Specifica l'identificativo del dominio (identificativo
d-*) generato al momento della creazione della directory. -
Fornisci il nome del IAM ruolo che hai creato.
-
Verifica che il gruppo di sicurezza dell'istanza DB possa ricevere traffico in entrata dal gruppo di sicurezza della directory.
-
-
Configura il tuo client Db2 e verifica che il traffico possa fluire tra l'host del client e AWS Directory Service le seguenti porte:
-
TCP/UDPporta 53 — DNS
-
TCP88 — Kerberos autenticazione
-
TCP389 — LDAP
-
TCP464 — Kerberos autenticazione
-
Gestione di un'istanza database in un dominio
Puoi usare il AWS Management Console, il AWS CLI, o il RDS API per gestire la tua istanza DB e la sua relazione con Microsoft Active Directory. Ad esempio, è possibile associare un Active Directory abilitare Kerberos autenticazione. È inoltre possibile rimuovere l'associazione per un Active Directory disabilitare Kerberos autenticazione. È inoltre possibile spostare un'istanza DB in modo che venga autenticata esternamente da una Microsoft Active Directory a un'altra.
Ad esempio, utilizzando modify-db-instanceCLIcomando, è possibile eseguire le seguenti azioni:
Tentativo di attivazione Kerberos autenticazione per un'iscrizione non riuscita specificando l'ID di directory dell'appartenenza corrente per l'
--domainopzione.-
Disabilita Kerberos autenticazione su un'istanza DB specificando
nonel'--domainopzione. -
Sposta un'istanza DB da un dominio all'altro specificando l'identificatore di dominio del nuovo dominio per l'opzione.
--domain
Appartenenza al dominio
Quando l'istanza database viene creata o modificata diventa membro del dominio. È possibile visualizzare lo stato dell'appartenenza al dominio nella console o eseguendo il describe-db-instancescomando. Lo stato dell'istanza di database può essere uno dei seguenti:
-
kerberos-enabled— L'istanza DB ha Kerberos autenticazione abilitata. -
enabling-kerberos— AWS è in fase di attivazione Kerberos autenticazione su questa istanza DB. -
pending-enable-kerberos— Abilitazione Kerberos l'autenticazione è in sospeso su questa istanza DB. -
pending-maintenance-enable-kerberos— AWS tenterà di abilitare Kerberos autenticazione sull'istanza DB durante la successiva finestra di manutenzione programmata. -
pending-disable-kerberos— Disabilitazione Kerberos l'autenticazione è in sospeso su questa istanza DB. -
pending-maintenance-disable-kerberos— AWS tenterà di disabilitare Kerberos autenticazione sull'istanza DB durante la successiva finestra di manutenzione programmata. -
enable-kerberos-failed— Un problema di configurazione di cui è stata AWS impedita l'attivazione Kerberos autenticazione sull'istanza DB. Correggi il problema di configurazione prima di emettere nuovamente il comando per modificare l'istanza DB. -
disabling-kerberos— AWS è in fase di disabilitazione Kerberos autenticazione su questa istanza DB.
Una richiesta di abilitazione Kerberos l'autenticazione può fallire a causa di un problema di connettività di rete o di un IAM ruolo errato. In alcuni casi, il tentativo di abilitare Kerberos l'autenticazione potrebbe fallire quando si crea o si modifica un'istanza DB. In tal caso, verifica di utilizzare il IAM ruolo corretto, quindi modifica l'istanza DB per aggiungerla al dominio.
