Uso de AWS Managed Active Directory con RDS para SQL Server - Amazon Relational Database Service

Uso de AWS Managed Active Directory con RDS para SQL Server

Puede usar AWS Managed Microsoft AD para autenticar a los usuarios con autenticación de Windows cuando se conecten a su instancia de base de datos de RDS para SQL Server. La instancia de base de datos funciona con AWS Directory Service for Microsoft Active Directory, también denominado AWS Managed Microsoft AD, para habilitar la autenticación de Windows. Cuando los usuarios se autentican con una instancia de base de datos de SQL Server unida al dominio de confianza, las solicitudes de autenticación se reenvían al directorio de dominio que se ha creado con AWS Directory Service.

Disponibilidad en regiones y versiones

Amazon RDS solo admite el uso de AWS Managed Microsoft AD para la autenticación de Windows. RDS no admite el uso de AD Connector. Para más información, consulte los siguientes temas:

Para obtener información sobre la disponibilidad en versiones y regiones, consulte Autenticación Kerberos con RDS para SQL Server.

Información sobre la configuración de la autenticación de Windows

Amazon RDS usa el modo mixto para la autenticación de Windows. Este método significa que el usuario principal (el nombre y la contraseña que se han utilizado para crear la instancia de base de datos de SQL Server) usa la autenticación de SQL. Dado que la cuenta de usuario maestro es una credencial privilegiada, debe restringir el acceso a esta cuenta.

Para realizar la autenticación de Windows con un Microsoft Active Directory en las instalaciones o autoalojado, cree una relación de confianza entre bosques. La confianza puede ser unidireccional o bidireccional. Para obtener más información acerca de la configuración de relaciones de confianza entre bosques con AWS Directory Service, consulte Cuándo crear una relación de confianza en la Guía de administración de AWS Directory Service.

Para configurar la autenticación de Windows para una instancia de base de datos de SQL Server, lleve a cabo los siguientes pasos, que se explican con más detalle e Configuración de la autenticación de Windows para las instancias de base de datos de SQL Server:

  1. Use AWS Managed Microsoft AD, desde la AWS Management Console o la API de AWS Directory Service, para crear un directorio AWS Managed Microsoft AD.

  2. Si usa la AWS CLI o la API de Amazon RDS para crear la instancia de base de datos de SQL Server, cree un rol de AWS Identity and Access Management (IAM). Este rol utiliza la política de IAM administrada AmazonRDSDirectoryServiceAccess y permite a Amazon RDS realizar llamadas a su directorio. Si usa la consola para crear la instancia de base de datos de SQL Server, AWS crea el rol de IAM automáticamente.

    Para que el rol permita el acceso, el punto de enlace AWS Security Token Service (AWS STS) debe activarse en la región AWS para su cuenta AWS. Los puntos de enlace de AWS STS están activos de forma predeterminada en todas las regiones AWS y puede usarlos sin ninguna acción posterior. Para obtener más información, consulte Administración de AWS STS en una Región de AWS en la guía del usuario de IAM.

  3. Cree y configure usuarios y grupos en el directorio de AWS Managed Microsoft AD usando las herramientas de Microsoft Active Directory. Para obtener más información sobre la creación de usuarios en su Active Directory, consulte Administrar usuarios y grupos en AWS Managed Microsoft AD en la guía de administración de AWS Directory Service.

  4. Si tiene previsto ubicar el directorio y la instancia de base de datos en diferentes VPC, habilite el tráfico entre VPC.

  5. Utilice Amazon RDS para crear una nueva instancia de base de datos de SQL Server desde la consola, la AWS CLI o la API de Amazon RDS. En la solicitud de creación, proporcione el identificador de dominio (identificador «d-*») que se generó cuando creó el directorio y el nombre del rol. También puede modificar una instancia de base de datos de SQL Server existente para usar la autenticación de Windows mediante la configuración de los parámetros dominio y rol de IAM para la instancia de base de datos.

  6. Use las credenciales del usuario maestro de Amazon RDS para conectarse a la instancia de base de datos de SQL Server como lo haría con cualquier otra instancia de base de datos. Como la instancia de base de datos está unida al dominio AWS Managed Microsoft AD, puede aprovisionar inicios de sesión y usuarios de SQL Server desde los usuarios y grupos de Active Directory de su dominio. (Estos se conocen como inicios de sesión de SQL Server «Windows»). Los permisos de bases de datos se administran a través de los permisos de SQL Server estándar otorgados y revocados para estos inicios de sesión de Windows.

Restauración de una instancia de base de datos de SQL Server y adición de esta a un dominio

Puede restaurar una instantánea de base de datos o realizar una restauración a un momento dado (PITR) para una instancia de base de datos de SQL Server y, a continuación, añadirla a un dominio. Una vez que la instancia de base de datos se haya restaurado, modifíquela usando el proceso que se explica en la sección Paso 5: crear o modificar una instancia de base de datos de SQL Server para agregar la instancia de base de datos a un dominio.