Uso de la autenticación de Kerberos para Amazon RDS para Db2
Puede usar la autenticación de Kerberos para autenticar a los usuarios cuando se conecten a su instancia de base de datos de Amazon RDS para Db2. La instancia de base de datos funciona con AWS Directory Service for Microsoft Active Directory (AWS Managed Microsoft AD) para habilitar la autenticación de Kerberos. Cuando los usuarios se autentican con una instancia de base de datos de RDS para Db2 unida al dominio de confianza, las solicitudes de autenticación se reenvían al directorio que se ha creado con AWS Directory Service. Para obtener más información, consulte What is AWS Directory Service? ¿Qué es AWS Directory Service? en la Guía de administración de AWS Directory Service.
Primero, cree un directorio de AWS Managed Microsoft AD para almacenar las credenciales de usuario. A continuación, agregue el dominio y demás información del directorio AWS Managed Microsoft AD a la instancia de base de datos de RDS para Db2. Cuando los usuarios se autentican con la instancia de base de datos de RDS para Db2, las solicitudes de autenticación se reenvían al directorio AWS Managed Microsoft AD.
Mantener todas las credenciales en el mismo directorio puede ahorrarle tiempo y esfuerzo. Con este método, dispone de un lugar centralizado para almacenar y administrar credenciales de numerosas instancias de bases de datos. El uso de un directorio también puede mejorar su perfil de seguridad general.
Para obtener información sobe la autenticación de Kerberos, consulte los siguientes temas.
Temas
Disponibilidad en regiones y versiones
La disponibilidad de las características varía según las versiones específicas de cada motor de base de datos y entre Regiones de AWS. Para obtener más información sobre la disponibilidad en versiones y regiones de RDS para Db2 con autenticación de Kerberos, consulte Regiones y motores de base de datos admitidos para autenticación de Kerberos en Amazon RDS.
nota
La autenticación de Kerberos no es compatible con las clases de instancia de base de datos que están en desuso para las instancias de base de datos de RDS para Db2. Para obtener más información, consulte Amazon RDS para clases de instancia de Db2.
Información general sobre la autenticación de Kerberos para instancias de base de datos de RDS para Db2
Para configurar la autenticación de Kerberos para una instancia de base de datos de RDS para Db2, complete los siguientes pasos generales, que se describen con más detalle más adelante:
-
Utilice AWS Managed Microsoft AD para crear un directorio de AWS Managed Microsoft AD. Puede utilizar la AWS Management Console, la AWS Command Line Interface (AWS CLI) o AWS Directory Service para crear el directorio. Para obtener más información, consulte Eliminar su directorio AWS Managed Microsoft AD en la Guía de administración de AWS Directory Service.
-
Cree un rol de AWS Identity and Access Management (IAM) que utilice la política de IAM administrada
AmazonRDSDirectoryServiceAccess
. El rol de IAM permite a Amazon RDS realizar llamadas al directorio.Para que el rol de IAM permita el acceso, el punto de conexión AWS Security Token Service (AWS STS) debe activarse en la Región de AWS correcta para su Cuenta de AWS. Los puntos de conexión de AWS STS están activos de forma predeterminada en todas las Regiones de AWS y puede usarlos sin ninguna acción posterior. Para obtener más información, consulte Activación y desactivación de AWS STS en una región de Región de AWS en la Guía del usuario de IAM.
-
Cree o modifique una instancia de base de datos de RDS para Db2 desde la AWS Management Console, la AWS CLI o la API de RDS utilizando uno de los siguientes métodos:
-
Cree una nueva instancia de base de datos de RDS para Db2 utilizando la consola, el comando create-db-instance o la operación de la API CreateDBInstance. Para ver instrucciones, consulte Creación de una instancia de base de datos de Amazon RDS.
-
Modifique una instancia de base de datos de RDS para Db2 existente mediante la consola, el comando modify-db-instance o la operación de la API ModifyDBInstance. Para obtener instrucciones, consulte Modificación de una instancia de base de datos de Amazon RDS.
-
Restaure una instancia de base de datos de RDS para Db2 a partir de una instantánea de base de datos utilizando la consola, el comando restore-db-instance-from-db-snapshot o la operación de la API RestoreDBInstanceFromDBSnapshot. Para obtener instrucciones, consulte Restauración a una instancia de base de datos.
-
Restaure una instancia de base de datos de RDS para Db2 en un momento dado utilizando la consola, el comando restore-db-instance-to-point-in-time o la operación de la API RestoreDBInstanceToPointInTime. Para obtener instrucciones, consulte Restauración de una instancia de base de datos a un momento especificado para Amazon RDS.
Puede localizar la instancia de base de datos en la misma Amazon Virtual Private Cloud (VPC) que el directorio o en una Cuenta de AWS o VPC diferente. Cuando cree o modifique la instancia de base de datos de RDS para Db2, realice las siguientes tareas:
-
Proporcione el identificador de dominio (identificador
d-*
) que se generó cuando creó el directorio. -
Proporcione el nombre del rol de IAM que ha creado.
-
Verifique que el grupo de seguridad de la instancia de base de datos pueda recibir tráfico de entrada del grupo de seguridad del directorio.
-
-
Configure el cliente de Db2 y verifique que el tráfico puede fluir entre el host cliente y AWS Directory Service para los puertos siguientes:
-
TCP/UDP puerto 53 – DNS
-
TCP 88 – autenticación de Kerberos
-
TCP 389 — LDAP
-
TCP 464 – autenticación de Kerberos
-
Administración de una instancia de base de datos en un dominio
Puede usar la AWS Management Console, la AWS CLI o la API de RDS para administrar la instancia de base de datos y la relación con su Microsoft Active Directory. Puede, por ejemplo, puede asociar un Active Directory para habilitar la autenticación de Kerberos. También puede eliminar la asociación para que un Active Directory deshabilite la autenticación de Kerberos. También puede mover una instancia de base de datos para que sea autenticada externamente por un Microsoft Active Directory a otro.
Por ejemplo, con el comando modify-db-instance de la CLI, puede llevar a cabo las siguientes acciones:
Vuelva a intentar habilitar la autenticación de Kerberos en una pertenencia que haya dado un error especificando el ID de directorio de la pertenencia actual para la opción
--domain
.-
Deshabilite la autenticación de Kerberos en una instancia de base de datos especificando
none
para la opción--domain
. -
Trasladar una instancia de base de datos de un dominio a otro especificando el identificador de dominio del nuevo dominio para la opción
--domain
.
Descripción de la pertenencia a los dominios
Una vez que haya creado o modificado una instancia de base de datos, esta se convierte en miembro del dominio. Puede ver el estado de la suscripción al dominio en la consola o ejecutando el comando describe-db-instances de la CLI. El estado de la instancia de base de datos puede ser uno de los siguientes:
-
kerberos-enabled
: la instancia de base de datos tiene habilitada la autenticación de Kerberos. -
enabling-kerberos
: AWS está en proceso de habilitar la autenticación de Kerberos en esta instancia de base de datos. -
pending-enable-kerberos
: la habilitación de la autenticación de Kerberos está pendiente en esta instancia de base de datos. -
pending-maintenance-enable-kerberos
: AWS intentará habilitar la autenticación de Kerberos en la instancia de base de datos durante el próximo periodo de mantenimiento programado. -
pending-disable-kerberos
: la deshabilitación de la autenticación de Kerberos está pendiente en esta instancia de base de datos. -
pending-maintenance-disable-kerberos
: AWS intentará desactivar la autenticación de Kerberos en la instancia de base de datos durante el próximo periodo de mantenimiento programado. -
enable-kerberos-failed
: un problema de configuración ha impedido que AWS habilite la autenticación de Kerberos en la instancia de base de datos. Corrija el problema de configuración antes de volver a ejecutar el comando para modificar la instancia de base de datos. -
disabling-kerberos
: AWS está en proceso de desactivar la autenticación de Kerberos en esta instancia de base de datos.
Una solicitud para habilitar la autenticación de Kerberos puede generar un error a causa de un problema de conectividad de la red o de un rol de IAM incorrecto. En algunos casos, el intento de habilitar la autenticación de Kerberos podría fallar al crear o modificar una instancia de base de datos. Si esto ocurre, asegúrese de que está utilizando el rol de IAM correcto y, a continuación modifique la instancia de base de datos para unirse al dominio.