将 AWS Managed Active Directory 用于 RDS for SQL Server

从 AWS Managed Microsoft AD或 AWS Management Console API 使用 AWS Directory Service 创建 AWS Managed Microsoft AD 目录。

如果使用 AWS CLI 或 Amazon RDS API 创建 SQL Server 数据库实例，请创建 AWS Identity and Access Management（IAM）角色。此角色使用托管 IAM 策略 AmazonRDSDirectoryServiceAccess 并允许 Amazon RDS 调用您的目录。如果您使用控制台创建 SQL Server 数据库实例，则 AWS 将为您创建 IAM 角色。

为了让角色允许访问，AWS Security Token Service (AWS STS) 终端节点必须在您的 AWS 账户的 AWS 区域中激活。AWS STS 终端节点默认在所有 AWS 区域中保持活跃，且您无需任何进一步动作即可使用它们。有关更多信息，请参阅《IAM 用户指南》中的在 AWS 区域中管理 AWS STS。

使用 Microsoft Active Directory 工具在 AWS Managed Microsoft AD 目录中创建和配置用户与组。有关在 Microsoft Active Directory 中创建用户的更多信息，请参阅 AWS Directory Service管理指南中的管理 AWS Managed Microsoft AD 中的用户和组。

如果您计划在不同 VPC 中查找目录和数据库实例，请启用跨 VPC 流量。

使用 Amazon RDS 从控制台、AWS CLI 或 Amazon RDS API 新建 SQL Server 数据库实例。在创建请求中，提供在创建目录时生成的域标识符（“d-*”标识符）和您创建的角色的名称。通过为数据库实例设置域和 IAM 角色参数，您还可将现有 SQL Server 数据库实例修改为使用 Windows 身份验证。

使用 Amazon RDS 主用户凭证连接到 SQL Server 数据库实例，就像连接到任何其他数据库实例一样。由于数据库实例已联接到 AWS Managed Microsoft AD 域，您可从域中的 Active Directory 用户和组中预配置 SQL Server 登录名和用户。（这称为 SQL Server“Windows”登录。） 通过对这些 Windows 登录名授予和撤销标准 SQL Server 权限来管理数据库权限。