Utilizzo dell’autenticazione Kerberos per Amazon RDS per Db2 - Amazon Relational Database Service
Disponibilità di regioni e versioniPanoramica dell’autenticazione Kerberos per istanze databaseGestione di un'istanza database in un dominio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo dell’autenticazione Kerberos per Amazon RDS per Db2

Puoi utilizzare l’autenticazione Kerberos per autenticare gli utenti quando si connettono alla tua istanza database Amazon RDS per Db2. In questa configurazione, l'istanza DB funziona con AWS Directory Service for Microsoft Active Directory, chiamato anche AWS Managed Microsoft AD. Aggiungi il dominio e altre informazioni della tua AWS Managed Microsoft AD directory all'istanza DB RDS for Db2. Quando gli utenti si autenticano con un'istanza DB RDS for Db2 aggiunta al dominio trusting, le richieste di autenticazione vengono inoltrate alla directory con cui è stata creata. AWS Managed Microsoft AD Directory Service

Mantenere tutte le credenziali nella stessa directory consente di ridurre il tempo e l'impegno. Con questo approccio, è disponibile una posizione centralizzata per archiviare e gestire le credenziali per più istanze database. L'uso di una directory può inoltre migliorare il profilo di sicurezza complessivo.

Puoi inoltre accedere alle credenziali da Microsoft Active Directory on-premise. A tale scopo, crea una relazione di dominio trusting in modo che la directory AWS Managed Microsoft AD consideri attendibile Microsoft Active Directory on-premise. In questo modo, gli utenti possono accedere alle istanze database RDS per Db2 con la stessa esperienza Single Sign-On (SSO) Windows dei carichi di lavoro nella rete on-premises.

Per ulteriori informazioni, consulta What is? Directory Service nella Guida all'AWS Directory Service amministrazione.

Per informazioni sull’autenticazione Kerberos, consulta i seguenti argomenti:

Argomenti

Disponibilità di regioni e versioni

Il supporto varia a seconda delle versioni specifiche di ciascun motore di database e a seconda delle Regioni AWS. Per ulteriori informazioni sulla disponibilità delle versioni e Regioni di RDS per Db2 con l’autenticazione Kerberos, consulta Regioni e motori di database supportati per l’autenticazione Kerberos in Amazon RDS.

Nota

L’autenticazione Kerberos non è supportata per classi di istanze database dichiarate obsolete per le istanze database RDS per Db2. Per ulteriori informazioni, consulta Amazon RDS per classi di istanza Db2.

Panoramica dell’autenticazione Kerberos per istanze database RDS per Db2

Per configurare l’autenticazione Kerberos per un’istanza database RDS per Db2, completa i seguenti passaggi generali, descritti in dettaglio più avanti:

  1. AWS Managed Microsoft AD Usare per creare una AWS Managed Microsoft AD directory. È possibile utilizzare il Console di gestione AWS, the AWS Command Line Interface (AWS CLI) o Directory Service per creare la directory. Per ulteriori informazioni, consulta Create your AWS Managed Microsoft AD directory nella AWS Directory Service Administration Guide.

  2. Crea un ruolo AWS Identity and Access Management (IAM) che utilizzi la policy IAM gestitaAmazonRDSDirectoryServiceAccess. Il ruolo IAM consente ad Amazon RDS di effettuare chiamate alla tua directory.

    Affinché il ruolo IAM consenta l'accesso, l'endpoint AWS Security Token Service (AWS STS) deve essere attivato nel modo corretto Regione AWS per te Account AWS. AWS STS Gli endpoint sono tutti Regioni AWS attivi per impostazione predefinita e puoi utilizzarli senza ulteriori azioni. Per ulteriori informazioni, consulta Attivazione e disattivazione AWS STSRegione AWS in un capitolo della IAM User Guide.

  3. Crea o modifica un'istanza DB RDS for Db2 utilizzando l' Console di gestione AWS, la o l' AWS CLI API RDS con uno dei seguenti metodi:

    Puoi localizzare l'istanza DB nello stesso Amazon Virtual Private Cloud (VPC) della directory o in un altro VPC. Account AWS Quando crei o modifichi l’istanza database RDS per Db2, esegui le seguenti attività:

    • Specifica l'identificativo del dominio (identificativo d-*) generato al momento della creazione della directory.

    • Specifica anche il nome del ruolo IAM creato.

    • Assicurati che il gruppo di sicurezza dell’istanza database possa ricevere traffico in entrata dal gruppo di sicurezza della directory.

  4. Configura il tuo client Db2 e verifica che il traffico possa fluire tra l'host del client e Directory Service le seguenti porte:

    • Porta TCP/UDP 53 – DNS

    • TCP 88 — autenticazione Kerberos

    • TCP 389 — LDAP

    • TCP 464 — autenticazione Kerberos

Gestione di un'istanza database in un dominio

Puoi utilizzare l' Console di gestione AWS, la o l' AWS CLI API RDS per gestire la tua istanza DB e la sua relazione con la tua. Microsoft Active Directory Ad esempio, puoi associare una Active Directory per abilitare l’autenticazione Kerberos. Puoi anche rimuovere l’associazione per una Active Directory per disabilitare l’autenticazione Kerberos. Puoi anche spostare un’istanza database affinché venga autenticata esternamente da una Microsoft Active Directory a un’altra.

Ad esempio, il comando CLI modify-db-instance consente di eseguire le seguenti azioni:

  • Tentare nuovamente di abilitare l’autenticazione Kerberos per un’appartenenza non riuscita specificando l’ID della directory dell’appartenenza corrente per l’opzione --domain.

  • Disabilitare l’autenticazione Kerberos su un’istanza database specificando none per l’opzione --domain.

  • Spostare un’istanza database da un dominio a un altro specificando l’identificatore di dominio del nuovo dominio per l’opzione --domain.

Appartenenza al dominio

Quando l'istanza database viene creata o modificata diventa membro del dominio. Puoi visualizzare lo stato dell’appartenenza al dominio nella console o eseguendo il comando describe-db-instances. Lo stato dell'istanza di database può essere uno dei seguenti:

  • kerberos-enabled: l’autenticazione Kerberos è abilitata nell’istanza database.

  • enabling-kerberos— AWS sta abilitando l'Kerberosautenticazione su questa istanza DB.

  • pending-enable-kerberos: l’abilitazione dell’autenticazione Kerberos è in sospeso su questa istanza database.

  • pending-maintenance-enable-kerberos— AWS tenterà di abilitare Kerberos l'autenticazione sull'istanza DB durante la successiva finestra di manutenzione programmata.

  • pending-disable-kerberos: la disabilitazione dell’autenticazione Kerberos è in sospeso su questa istanza database.

  • pending-maintenance-disable-kerberos— AWS tenterà di disabilitare Kerberos l'autenticazione sull'istanza DB durante la successiva finestra di manutenzione pianificata.

  • enable-kerberos-failed: un problema di configurazione ha impedito ad AWS di abilitare l’autenticazione Kerberos sull’istanza database. Correggi il problema di configurazione prima di inviare nuovamente il comando per modificare l’istanza database.

  • disabling-kerberos— AWS sta disabilitando l'Kerberosautenticazione su questa istanza DB.

Una richiesta di abilitare l’autenticazione Kerberos potrebbe non andare a buon fine a causa di un problema di connettività di rete o un ruolo IAM non corretto. In alcuni casi, il tentativo di abilitare l’autenticazione Kerberos potrebbe non riuscire quando crei o modifichi un’istanza database. In questo caso, assicurati che sia in uso il ruolo IAM corretto, quindi modifica l’istanza database per l’aggiunta al dominio.