Arbeiten mit AWS verwaltetem Active Directory mit RDS for SQL Server - Amazon Relational Database Service
Verfügbarkeit von Regionen und VersionenÜbersicht zur Einrichtung einer Windows-AuthentifizierungWiederherstellen einer DB-Instance und Hinzufügen zu einer Domäne

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Arbeiten mit AWS verwaltetem Active Directory mit RDS for SQL Server

Sie können AWS Managed Microsoft AD es verwenden, um Benutzer mit der Windows-Authentifizierung zu authentifizieren, wenn sie eine Verbindung zu Ihrer RDS for SQL Server-DB-Instance herstellen. Die DB-Instance funktioniert mit AWS Directory Service for Microsoft Active Directory, auch genannt AWS Managed Microsoft AD, um die Windows-Authentifizierung zu aktivieren. Wenn sich Benutzer mit einer SQL Server-DB-Instance authentifizieren, die der vertrauenden Domäne beigetreten ist, werden Authentifizierungsanforderungen an das Domänenverzeichnis weitergeleitet, mit dem Sie sie erstellen. AWS Directory Service

Verfügbarkeit von Regionen und Versionen

Amazon RDS unterstützt nur die Verwendung AWS Managed Microsoft AD für die Windows-Authentifizierung. RDSunterstützt die Verwendung von AD Connector nicht. Weitere Informationen finden Sie hier:

Informationen zur Verfügbarkeit von Version und Region finden Sie unter Kerberos-Authentifizierung mit RDS for SQL Server.

Übersicht zur Einrichtung einer Windows-Authentifizierung

Amazon RDS verwendet den gemischten Modus für die Windows-Authentifizierung. Dieser Ansatz bedeutet, dass der Master-Benutzer (der Name und das Passwort, mit denen Sie Ihre SQL Server-DB-Instance erstellt haben) die SQL Authentifizierung verwendet. Da das Masterbenutzerkonto Anmeldedaten mit besonderen Berechtigungen enthält, sollte der Zugriff auf dieses Konto beschränkt sein.

Um mithilfe eines lokalen oder selbst gehosteten Microsoft Active Directory Windows-Authentifizierung abzurufen, erstellen Sie eine Gesamtstruktur-Vertrauensstellung. Die Vertrauensstellung kann uni- oder bidirektional sein. Weitere Informationen zur Einrichtung von Forest Trusts mithilfe von AWS Directory Service finden Sie unter Wann sollte eine Vertrauensstellung eingerichtet werden? im AWS Directory Service Administratorhandbuch.

Um die Windows-Authentifizierung für eine SQL Server-DB-Instance einzurichten, führen Sie die folgenden Schritte aus, die unter näher erläutert werden: Windows-Authentifizierung für SQL Server-DB-Instances einrichten

  1. Verwenden Sie AWS Managed Microsoft AD entweder aus AWS Management Console oder AWS Directory Service API, um ein AWS Managed Microsoft AD Verzeichnis zu erstellen.

  2. Wenn Sie die AWS CLI oder Amazon verwenden RDSAPI, um Ihre SQL Server-DB-Instance zu erstellen, erstellen Sie eine AWS Identity and Access Management (IAM) -Rolle. Diese Rolle verwendet die verwaltete IAM Richtlinie AmazonRDSDirectoryServiceAccess und RDS ermöglicht Amazon, Ihr Verzeichnis aufzurufen. Wenn Sie die Konsole verwenden, um Ihre SQL Server-DB-Instance zu erstellen, AWS erstellt die IAM Rolle für Sie.

    Damit die Rolle Zugriff gewährt, muss der Endpunkt AWS Security Token Service (AWS STS) in der AWS Region für Ihr AWS Konto aktiviert sein. AWS STS Endpunkte sind standardmäßig in allen AWS Regionen aktiv, und Sie können sie ohne weitere Aktionen verwenden. Weitere Informationen finden Sie unter Verwaltung AWS STS in einem AWS-Region im IAMBenutzerhandbuch.

  3. Erstellen und konfigurieren Sie Benutzer und Gruppen im AWS Managed Microsoft AD Verzeichnis mithilfe der Microsoft Active Directory-Tools. Weitere Informationen zum Erstellen von Benutzern und Gruppen in Ihrem Active Directory finden Sie unter Verwalten von Benutzern und Gruppen in AWS Managed Microsoft AD im AWS Directory Service Administrationshanbuch.

  4. Wenn Sie beabsichtigen, das Verzeichnis und die DB-Instance an unterschiedlichen Orten zu platzierenVPCs, aktivieren Sie VPC Cross-Traffic.

  5. Verwenden Sie AmazonRDS, um eine neue SQL Server-DB-Instance entweder über die Konsole oder über Amazon zu erstellen RDSAPI. AWS CLI In der Anforderung zum Erstellen geben Sie den Domänenbezeichner an ("d-*"-Bezeichner), der beim Erstellen des Verzeichnisses generiert wurde, sowie den Namen der von Ihnen erstellten Rolle. Sie können auch eine bestehende SQL Server-DB-Instance so ändern, dass sie die Windows-Authentifizierung verwendet, indem Sie die Domänen- und IAM Rollenparameter für die DB-Instance festlegen.

  6. Verwenden Sie die Anmeldedaten des RDS Amazon-Master-Benutzers, um wie bei jeder anderen DB-Instance eine Verbindung zur SQL Server-DB-Instance herzustellen. Da die DB-Instance mit der AWS Managed Microsoft AD Domain verbunden ist, können Sie SQL Serveranmeldungen und Benutzer von den Active Directory-Benutzern und -Gruppen in ihrer Domäne bereitstellen. (Diese werden als „Windows“ SQL -Serveranmeldungen bezeichnet.) Datenbankberechtigungen werden über SQL Standard-Serverberechtigungen verwaltet, die diesen Windows-Anmeldenamen gewährt und entzogen wurden.

Wiederherstellen einer SQL Server-DB-Instance und anschließendes Hinzufügen zu einer Domäne

Sie können einen DB-Snapshot wiederherstellen oder point-in-time recovery (PITR) für eine SQL Server-DB-Instance durchführen und sie dann zu einer Domain hinzufügen. Wenn die DB-Instance wiederhergestellt wurde, modifizieren Sie die Instance, indem Sie den unter Schritt 5: Erstellen oder ändern Sie eine SQL Server-DB-Instance beschriebenen Prozess anwenden, um die DB-Instance einer Domäne hinzuzufügen.