使用 Kerberos Amazon RDS for Db2 的身分驗證 - Amazon Relational Database Service
區域和版本可用性的概觀 Kerberos 資料庫執行個體的身分驗證管理網域中的資料庫執行個體

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Kerberos Amazon RDS for Db2 的身分驗證

您可以使用...Kerberos 驗證,以在使用者連線到 Amazon RDS for Db2 資料庫執行個體時對其進行驗證。您的資料庫執行個體使用 AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) 來啟用 Kerberos 身分驗證。當使用者使用加入信任網域RDS的適用於 Db2 資料庫執行個體的 進行身分驗證時,身分驗證請求會轉送到您建立的目錄 AWS Directory Service。如需詳細資訊,請參閱《AWS Directory Service 使用者指南》中的什麼是 AWS Directory Service?

首先,建立 AWS Managed Microsoft AD 目錄來存放使用者登入資料。然後,將 AWS Managed Microsoft AD 目錄的網域和其他資訊新增至RDS適用於 Db2 資料庫執行個體的 。當使用者使用適用於 Db2 資料庫執行個體RDS的 進行身分驗證時,身分驗證請求會轉送至 AWS Managed Microsoft AD 目錄。

將您的所有登入資料保留在相同目錄可以節省您的時間和精力。透過這種方式,這樣您就有一個集中的位置來存放及管理多個資料庫執行個體的登入資料。使用目錄也可以改善您的整體安全性描述檔。

如需 的相關資訊 Kerberos 身分驗證,請參閱下列主題。

主題

區域和版本可用性

功能可用性和支援會因每個資料庫引擎的特定版本以及 AWS 區域而有所不同。如需 Db2 RDS 搭配 的 版本和區域可用性的詳細資訊 Db2 Kerberos 身分驗證,請參閱Amazon RDS 中 Kerberos 身分驗證支援的區域和資料庫引擎

注意

Kerberos 對於 RDS Db2 資料庫執行個體已取代的資料庫執行個體類別,不支援身分驗證。如需詳細資訊,請參閱Amazon RDS for Db2 執行個體類別

的概觀 Kerberos Db2 資料庫執行個體RDS的 身分驗證

設定 Kerberos RDS 適用於 Db2 資料庫執行個體的 身分驗證,請完成下列一般步驟,稍後會更詳細說明:

  1. 使用 AWS Managed Microsoft AD 建立 AWS Managed Microsoft AD 目錄。您可以使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 或 AWS Directory Service 來建立目錄。如需詳細資訊,請參閱 AWS Directory Service 管理指南中的建立 AWS Managed Microsoft AD 目錄

  2. 建立使用 受管IAM政策 的 AWS Identity and Access Management (IAM) 角色AmazonRDSDirectoryServiceAccess。此IAM角色允許 Amazon RDS 呼叫您的目錄。

    若要讓IAM角色允許存取,必須在您的 AWS 區域 的正確 中啟用 AWS Security Token Service (AWS STS) 端點 AWS 帳戶。 AWS STS 端點預設會處於作用中狀態 AWS 區域,而且您可以使用它們,而不需要任何進一步的動作。如需詳細資訊,請參閱IAM《 使用者指南AWS STS 》中的啟用和停用 AWS 區域

  3. 使用 AWS Management Console、 或 AWS CLI RDSAPI搭配下列其中一種方法,建立或修改RDS適用於 Db2 資料庫執行個體的 :

    您可以在與目錄相同的 Amazon Virtual Private Cloud (VPC) 中,或在不同 AWS 帳戶 或 中尋找資料庫執行個體VPC。當您建立或修改 RDS Db2 資料庫執行個體的 時,請執行下列任務:

    • 請提供您建立目錄時產生的網域識別符 (d-* 識別符)。

    • 提供您建立IAM的角色名稱。

    • 確認資料庫執行個體安全群組可以接收來自目錄安全群組的傳入流量。

  4. 設定您的 Db2 用戶端,並確認流量可以在用戶端主機與 AWS Directory Service 下列連接埠之間流動:

    • TCP/UDP 連接埠 53 – DNS

    • TCP 88 – Kerberos 驗證

    • TCP 389 – LDAP

    • TCP 464 – Kerberos 驗證

管理網域中的資料庫執行個體

您可以使用 AWS Management Console、 AWS CLI或 RDSAPI來管理資料庫執行個體及其與 的關係 Microsoft Active Directory。 例如,您可以將 Active Directory 啟用 Kerberos 身分驗證。您也可以移除 的關聯 Active Directory 停用 Kerberos 身分驗證。您也可以將資料庫執行個體移至外部進行驗證 Microsoft Active Directory 至另一個。

例如,執行 modify-db-instance CLI 命令,您可以執行下列動作:

  • 重新嘗試啟用 Kerberos 透過指定 --domain選項的目前成員目錄 ID,來驗證失敗成員資格。

  • 停用 Kerberos 為 none--domain選項指定 來驗證資料庫執行個體。

  • 透過為 --domain選項指定新網域的網域識別符,將資料庫執行個體從一個網域移至另一個網域。

了解網域成員資格

在您建立或修改資料庫執行個體之後,該執行個體會成為網域的成員。您可以在 主控台或執行 來檢視網域成員資格的狀態 describe-db-instances 命令。資料庫執行個體的狀態可以是下列其中一個:

  • kerberos-enabled – 資料庫執行個體具有 Kerberos 已啟用身分驗證。

  • enabling-kerberos – AWS 正在啟用 Kerberos 此資料庫執行個體上的身分驗證。

  • pending-enable-kerberos – 啟用 Kerberos 身分驗證在此資料庫執行個體上處於待定狀態。

  • pending-maintenance-enable-kerberos – AWS 將嘗試啟用 Kerberos 在下一個排定的維護時段,對資料庫執行個體進行身分驗證。

  • pending-disable-kerberos – 停用 Kerberos 身分驗證在此資料庫執行個體上處於待定狀態。

  • pending-maintenance-disable-kerberos – AWS 將嘗試停用 Kerberos 在下一個排定的維護時段,對資料庫執行個體進行身分驗證。

  • enable-kerberos-failed – 無法啟用 AWS 的組態問題 Kerberos 資料庫執行個體上的身分驗證。在重新發出命令來修改資料庫執行個體之前,請修正組態問題。

  • disabling-kerberos – AWS 正在停用 Kerberos 此資料庫執行個體上的身分驗證。

要啟用的請求 Kerberos 驗證可能因為網路連線問題或不正確IAM的角色而失敗。在某些情況下,嘗試啟用 Kerberos 當您建立或修改資料庫執行個體時,身分驗證可能會失敗。如果發生這種情況,請確認您使用的是正確的IAM角色,然後修改資料庫執行個體以加入網域。