使用 AWS Managed Active Directory 搭配 RDS for SQL Server - Amazon Relational Database Service
區域和版本可用性設定 Windows 身分驗證概觀還原資料庫執行個體,並將其新增至網域

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS Managed Active Directory 搭配 RDS for SQL Server

當使用者連線到RDS您的 for SQL Server 資料庫執行個體時,您可以使用 AWS Managed Microsoft AD 對使用者進行 Windows 身分驗證。資料庫執行個體可與 搭配使用 AWS Directory Service for Microsoft Active Directory,也稱為 AWS Managed Microsoft AD,以啟用 Windows 身分驗證。當使用者使用加入信任網域的 SQL Server 資料庫執行個體進行身分驗證時,身分驗證請求會轉送至您透過 建立的網域目錄 AWS Directory Service。

區域和版本可用性

Amazon 僅RDS支援 AWS Managed Microsoft AD 使用 Windows 身分驗證。RDS 不支援使用 AD Connector。如需詳細資訊,請參閱下列內容:

如需版本和區域可用性的詳細資訊,請參閱使用 RDS for SQL Server 的 Kerberos 身分驗證

設定 Windows 身分驗證概觀

Amazon RDS使用混合模式進行 Windows 身分驗證。此方法表示主要使用者 (用來建立SQL伺服器資料庫執行個體的名稱和密碼) 使用SQL身分驗證。因為主要使用者帳戶是具有特殊權限的登入資料,您應該限制對此帳戶的存取。

若要使用現場部署或自行託管的 Microsoft Active Directory 獲得 Windows 身分驗證,請建立樹系信任。信任可以是單向或雙向。如需使用 設定樹系信任的詳細資訊 AWS Directory Service,請參閱 AWS Directory Service 管理指南 中的何時建立信任關係

若要設定SQL伺服器資料庫執行個體的 Windows 身分驗證,請執行下列步驟,在 中詳細說明設定 Windows Authentication for SQL Server 資料庫執行個體

  1. 從 AWS Managed Microsoft AD AWS Management Console 或 使用 AWS Directory Service API來建立 AWS Managed Microsoft AD 目錄。

  2. 如果您使用 AWS CLI 或 Amazon RDSAPI來建立SQL伺服器資料庫執行個體,請建立 AWS Identity and Access Management (IAM) 角色。此角色使用 受管IAM政策AmazonRDSDirectoryServiceAccess,並允許 Amazon RDS呼叫您的目錄。如果您使用 主控台來建立SQL伺服器資料庫執行個體, AWS 會為您建立IAM角色。

    若要讓角色允許存取,必須在您 AWS 帳戶的 區域中啟用 AWS AWS Security Token Service (AWS STS) 端點。所有 AWS 區域中, AWS STS 端點預設處於作用中狀態,而且您可以使用這些端點而無需採取任何進一步動作。如需詳細資訊,請參閱 使用者指南 AWS STS 中的管理 AWS 區域IAM

  3. 使用 Microsoft Active Directory 工具在 AWS Managed Microsoft AD 目錄中建立和設定使用者和群組。如需在 Microsoft Active Directory 建立使用者的詳細資訊,請參閱 AWS Directory Service 管理指南中的管理 AWS Managed Microsoft AD中的使用者和群組

  4. 如果您計劃在不同 中尋找目錄和資料庫執行個體VPCs,請啟用跨VPC流量。

  5. 使用 Amazon 從主控台 AWS CLI或 Amazon RDS建立新的SQL伺服器資料庫執行個體RDSAPI。在建立請求中,您可以提供建立目錄時產生的網域識別符 ("d-*" identifier) 和您建立之角色的名稱。您也可以透過設定資料庫執行個體的網域和IAM角色參數,將現有的SQL伺服器資料庫執行個體修改為使用 Windows 身分驗證。

  6. 使用 Amazon RDS主要使用者登入資料來連線至SQL伺服器資料庫執行個體,就像您執行任何其他資料庫執行個體一樣。由於資料庫執行個體已加入 AWS Managed Microsoft AD 網域,因此您可以從其網域中的 Active Directory 使用者和群組佈建SQL伺服器登入和使用者。(這些稱為SQL伺服器「Windows」登入。) 資料庫許可是透過授予並撤銷這些 Windows 登入的標準SQL伺服器許可進行管理。

還原SQL伺服器資料庫執行個體,然後將其新增至網域

您可以還原資料庫快照或為SQL伺服器資料庫執行個體執行 point-in-time復原 (PITR),然後將其新增至網域。一旦還原資料庫執行個體,請使用 步驟 5:建立或修改SQL伺服器資料庫執行個體 中的說明程序來修改執行個體,以將資料庫執行個體新增至網域。