Utilisation d'Active Directory AWS géré avec RDS for SQL Server - Amazon Relational Database Service
Disponibilité des régions et des versionsPrésentation de la configuration de l'authentification WindowsRestauration d'une instance de base de données et ajout de cette instance à un domaine

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'Active Directory AWS géré avec RDS for SQL Server

Vous pouvez l'utiliser AWS Managed Microsoft AD pour authentifier les utilisateurs avec l'authentification Windows lorsqu'ils se connectent à votre instance de base de données RDS for SQL Server. L'instance de base de données fonctionne avec AWS Directory Service for Microsoft Active Directory, également appelée AWS Managed Microsoft AD, pour activer l'authentification Windows. Lorsque les utilisateurs s'authentifient auprès d'une instance de base de données de SQL serveur jointe au domaine de confiance, les demandes d'authentification sont transmises au répertoire de domaines que vous créez avec. AWS Directory Service

Disponibilité des régions et des versions

Amazon RDS prend en charge l'utilisation uniquement AWS Managed Microsoft AD pour l'authentification Windows. RDSne prend pas en charge l'utilisation d'AD Connector. Pour plus d’informations, consultez les ressources suivantes :

Pour plus d'informations sur la disponibilité des versions et des régions, voir Authentification Kerberos avec RDS for SQL Server.

Présentation de la configuration de l'authentification Windows

Amazon RDS utilise le mode mixte pour l'authentification Windows. Cette approche signifie que l'utilisateur principal (le nom et le mot de passe utilisés pour créer votre instance de base de données de SQL serveur) utilise SQL l'authentification. Étant donné que le compte utilisateur principal comporte des informations d'identification privilégiées, vous devez limiter l'accès à ce compte.

Pour obtenir l'authentification Windows à l'aide d'un compte Microsoft Active Directory sur site ou auto-géré, créez une approbation de forêt. L'approbation peut être unidirectionnelle ou bidirectionnelle. Pour plus d'informations sur la configuration des approbations forestières à l'aide AWS Directory Service de la section Quand créer une relation de confiance dans le Guide d'AWS Directory Service administration.

Pour configurer l'authentification Windows pour une instance de base de données de SQL serveur, suivez les étapes suivantes, expliquées plus en détail dans Configuration de l'authentification Windows pour les instances de base SQL de données du serveur :

  1. AWS Managed Microsoft AD Utilisez-le, soit depuis le AWS Management Console soit AWS Directory Service API, pour créer un AWS Managed Microsoft AD répertoire.

  2. Si vous utilisez Amazon RDS API pour créer votre instance de base de données de SQL serveur, créez un rôle AWS Identity and Access Management (IAM). AWS CLI Ce rôle utilise la IAM politique gérée AmazonRDSDirectoryServiceAccess et permet RDS à Amazon de passer des appels vers votre annuaire. Si vous utilisez la console pour créer votre instance de base de données de SQL serveur, AWS crée le IAM rôle pour vous.

    Pour que le rôle autorise l'accès, le point de terminaison AWS Security Token Service (AWS STS) doit être activé dans la AWS région de votre AWS compte. AWS STS les points de terminaison sont actifs par défaut dans toutes les AWS régions, et vous pouvez les utiliser sans autre action. Pour plus d'informations, consultez la section Gestion AWS STS dans et Région AWS dans le guide de IAM l'utilisateur.

  3. Créez et configurez des utilisateurs et des groupes dans l' AWS Managed Microsoft AD annuaire à l'aide des outils Microsoft Active Directory. Pour plus d'informations sur la création d'utilisateurs et de groupes dans votre Active Directory, consultez Gérer les utilisateurs et les groupes dans AWS Managed Microsoft AD dans le Guide d'administration AWS Directory Service .

  4. Si vous prévoyez de placer le répertoire et l'instance de base de données différemmentVPCs, activez le VPC trafic croisé.

  5. Utilisez Amazon RDS pour créer une nouvelle instance de base de données de SQL serveur depuis la console ou depuis Amazon RDSAPI. AWS CLI Dans la demande de création, vous indiquez l'identifiant du domaine (identifiant « d-* ») généré lors de la création de votre annuaire, ainsi que le nom du rôle que vous avez créé. Vous pouvez également modifier une instance de base de données de SQL serveur existante pour utiliser l'authentification Windows en définissant les paramètres de domaine et de IAM rôle pour l'instance de base de données.

  6. Utilisez les informations d'identification de l'utilisateur RDS principal Amazon pour vous connecter à l'instance de base de données SQL du serveur comme vous le feriez pour toute autre instance de base de données. Comme l'instance de base de données est jointe au AWS Managed Microsoft AD domaine, vous pouvez configurer des connexions au SQL serveur et des utilisateurs à partir des utilisateurs et des groupes Active Directory de leur domaine. (Ces connexions sont connues sous le nom de connexions « Windows » au SQL serveur.) Les autorisations de base de données sont gérées par le biais d'autorisations de SQL serveur standard accordées et révoquées à ces connexions Windows.

Restaurer une instance de base de données de SQL serveur, puis l'ajouter à un domaine

Vous pouvez restaurer un instantané de base de données ou effectuer point-in-time recovery (PITR) pour une instance de base de données de SQL serveur, puis l'ajouter à un domaine. Une fois que l'instance de base de données est restaurée, modifiez l'instance à l'aide du processus expliqué dans Étape 5 : créer ou modifier une instance de base de données de SQL serveur afin d'ajouter l'instance de base de données à un domaine.