Amazon RDS for Db2에 대한 Kerberos 인증 사용 - Amazon Relational Database Service
리전 및 버전 사용 가능 여부DB 인스턴스에 대한 Kerberos 인증 개요도메인에서 DB 인스턴스 관리

Amazon RDS for Db2에 대한 Kerberos 인증 사용

Amazon RDS for Db2 DB 인스턴스에 연결할 때 Kerberos 인증을 통해 사용자를 인증할 수 있습니다. DB 인스턴스는 AWS Directory Service for Microsoft Active Directory(AWS Managed Microsoft AD)와 함께 작동하여 Kerberos 인증을 활성화합니다. 사용자가 신뢰하는 도메인에 조인한 RDS for Db2 DB 인스턴스를 사용하여 인증할 경우 AWS Directory Service를 사용하여 만든 디렉터리에 인증 요청이 전달됩니다. 자세한 내용은 AWS Directory Service 관리 가이드AWS Directory Service란 무엇입니까?를 참조하세요.

먼저 사용자 보안 인증 정보를 저장할 AWS Managed Microsoft AD 디렉터리를 만듭니다. 그런 다음 AWS Managed Microsoft AD 디렉터리의 도메인 및 기타 정보를 RDS for Db2 DB 인스턴스에 추가합니다. RDS for Db2 DB 인스턴스에 대해 사용자가 인증될 때 AWS Managed Microsoft AD 디렉터리에 인증 요청이 전달됩니다.

모든 자격 증명을 동일한 디렉터리에 보관하면 시간과 노력을 절약할 수 있습니다. 이 접근 방식의 경우, 여러 DB 인스턴스에 대한 자격 증명을 보관하고 관리할 수 있는 중앙 집중식 공간이 있습니다. 디렉터리를 사용하면 전체 보안 프로필을 향상할 수도 있습니다.

Kerberos 인증에 대한 자세한 내용은 다음 주제를 참조하세요.

주제

리전 및 버전 사용 가능 여부

기능 가용성 및 해당 지원은 각 데이터베이스 엔진의 특정 버전 및 AWS 리전 리전에 따라 다릅니다. Kerberos 인증을 사용하는 RDS for Db2의 버전 및 리전 가용성에 대한 자세한 내용은 Amazon RDS에서 Kerberos 인증을 지원하는 리전 및 DB 엔진 섹션을 참조하세요.

참고

RDS for Db2 DB 인스턴스에서 사용 중단된 DB 인스턴스 클래스에는 Kerberos 인증이 지원되지 않습니다. 자세한 내용은 Amazon RDS for Db2 인스턴스 클래스 단원을 참조하십시오.

RDS for Db2 DB 인스턴스에 대한 Kerberos 인증 개요

RDS for Db2 DB 인스턴스에 대해 Kerberos 인증을 설정하려면 다음과 같은 일반적인 단계(나중에 자세히 설명함)를 완료하세요.

  1. AWS Managed Microsoft AD를 사용하여 AWS Managed Microsoft AD 디렉터리를 생성합니다. AWS Management Console, AWS Command Line Interface(AWS CLI) 또는 AWS Directory Service를 사용하여 디렉터리를 생성할 수 있습니다. 자세한 내용은 AWS Directory Service 관리 가이드의 AWS Managed Microsoft AD 디렉터리 생성을 참조하세요.

  2. 관리형 IAM 정책 AmazonRDSDirectoryServiceAccess를 사용하는 AWS Identity and Access Management(IAM) 역할을 생성합니다. 이 IAM 역할을 사용하여 Amazon RDS에서 디렉터리를 호출할 수 있습니다.

    IAM 역할이 액세스를 허용하려면 AWS 계정의 올바른 AWS 리전에서 AWS Security Token Service(AWS STS) 엔드포인트를 활성화해야 합니다. AWS STS 엔드포인트는 모든 AWS 리전에서 기본적으로 활성화되어 있으며 추가 작업 없이 사용할 수 있습니다. 자세한 내용은 IAM 사용 설명서AWS 리전에서 AWS STS 활성화 및 비활성화를 참조하세요.

  3. AWS Management Console, AWS CLI 또는 RDS API에서 다음 방법 중 하나를 사용하여 RDS for Db2 DB 인스턴스를 생성하거나 수정합니다.

    디렉터리와 동일한 Amazon Virtual Private Cloud(VPC) 또는 다른 AWS 계정이나 VPC에 DB 인스턴스를 배치할 수 있습니다. RDS for Db2 DB 인스턴스를 생성하거나 수정할 때 다음 작업을 수행합니다.

    • 디렉터리를 만들 때 생성된 도메인 식별자(d-* 식별자)를 제공합니다.

    • 생성한 IAM 역할의 이름을 제공합니다.

    • DB 인스턴스의 보안 그룹이 디렉터리의 보안 그룹에서 인바운드 트래픽을 수신할 수 있는지 확인합니다.

  4. Db2 클라이언트를 구성하고 다음 포트에 대해 클라이언트 호스트와 AWS Directory Service 간에 트래픽이 흐를 수 있는지 확인합니다.

    • TCP/UDP 포트 53 – DNS

    • TCP 88 – Kerberos 인증

    • TCP 389 – LDAP

    • TCP 464 – Kerberos 인증

도메인에서 DB 인스턴스 관리

AWS Management Console, AWS CLI 또는 RDS API를 사용하여 DB 인스턴스 및 DB 인스턴스와 Microsoft Active Directory과의 관계를 관리할 수 있습니다. 예를 들어, Active Directory를 연결하여 Kerberos 인증을 활성화할 수 있습니다. 또한 Active Directory 연결을 제거하여 Kerberos 인증을 비활성화할 수 있습니다. 또한 외부에서 인증할 DB 인스턴스를 한 Microsoft Active Directory에서 다른 디렉터리로 이동할 수 있습니다.

예를 들어, modify-db-instance CLI 명령을 사용하여 다음 작업을 수행할 수 있습니다.

  • --domain 옵션에 현재 멤버십의 디렉터리 ID를 지정하여 실패한 멤버십에 대한 Kerberos 인증 활성화를 다시 시도합니다.

  • --domain 옵션에 대해 none을 지정하여 DB 인스턴스에서 Kerberos 인증을 비활성화합니다.

  • --domain 옵션에 대한 새 도메인의 도메인 식별자를 지정하여 한 도메인에서 다른 도메인으로 DB 인스턴스를 이동합니다.

도메인 멤버십 이해

DB 인스턴스를 생성하거나 수정하고 나면 해당 인스턴스는 도메인의 멤버가 됩니다. 콘솔에서 또는 describe-db-instances CLI 명령을 실행하여 도메인 멤버십의 상태를 확인할 수 있습니다. DB 인스턴스의 상태는 다음 중 한 가지가 될 수 있습니다.

  • kerberos-enabled – DB 인스턴스에 Kerberos 인증이 활성화되어 있습니다.

  • enabling-kerberos - AWS에서 이 DB 인스턴스에 대한 Kerberos 인증 활성화를 진행 중입니다.

  • pending-enable-kerberos – 이 DB 인스턴스에 대한 Kerberos 인증 활성화가 보류 중입니다.

  • pending-maintenance-enable-kerberos - AWS에서 예약된 다음 유지 관리 기간에 DB 인스턴스에 대한 Kerberos 인증을 활성화하려 합니다.

  • pending-disable-kerberos – 이 DB 인스턴스에 대한 Kerberos 인증 비활성화가 보류 중입니다.

  • pending-maintenance-disable-kerberos - AWS에서 예약된 다음 유지 관리 기간에 DB 인스턴스에 대한 Kerberos 인증을 비활성화하려 합니다.

  • enable-kerberos-failed - 구성 문제로 인해 AWS가 DB 인스턴스에 대해 Kerberos 인증을 활성화하지 못했습니다. DB 인스턴스 수정 명령을 다시 실행하기 전에 구성 문제를 해결하세요.

  • disabling-kerberos - AWS에서 이 DB 인스턴스에 대한 Kerberos 인증 비활성화를 진행 중입니다.

네트워크 연결 문제 또는 잘못된 IAM 역할로 인해 Kerberos 인증 활성화 요청이 실패할 수 있습니다. 경우에 따라 DB 인스턴스를 만들거나 수정할 때 Kerberos 인증을 사용하려고 하면 실패할 수 있습니다. 이런 경우 올바른 IAM 역할을 사용하고 있는지 확인한 다음 DB 인스턴스를 수정하여 도메인에 조인합니다.