Configuration d'Active Directory autogéré

Pour configurer AD autogéré, procédez comme suit.

Étape 1 : Créer une unité d'organisation dans votre annuaire AD

Important

Nous vous recommandons de créer une unité d'organisation dédiée et des informations d'identification de service étendues à cette unité d'organisation pour tout AWS compte propriétaire d'une instance de base de données RDS pour SQL Server jointe à votre domaine AD autogéré. En dédiant une unité d'organisation et des informations d'identification de service, vous pouvez éviter les conflits d'autorisations et suivre le principe de moindre privilège.

Pour créer une unité d'organisation dans votre annuaire AD

1. Connectez-vous à votre domaine AD en tant qu'administrateur de domaine.

2. Ouvrez Utilisateurs et ordinateurs Active Directory et sélectionnez le domaine où vous souhaitez créer votre unité d'organisation.

3. Cliquez avec le bouton droit sur le domaine et choisissez Nouveau, puis Unité d'organisation.

4. Saisissez un nom pour l'unité d'organisation.

5. Laissez la case cochée pour Protéger le conteneur contre la suppression accidentelle.

6. Cliquez sur OK. Votre nouvelle unité d'organisation apparaîtra sous votre domaine.

Étape 2 : Créer un utilisateur de domaine AD dans votre annuaire AD

Les informations d'identification de l'utilisateur du domaine seront utilisées pour le secret dans AWS Secrets Manager.

Pour créer un utilisateur de domaine AD dans votre annuaire AD

1. Ouvrez Utilisateurs et ordinateurs Active Directory et sélectionnez le domaine et l'unité d'organisation où vous souhaitez créer votre utilisateur.

2. Cliquez avec le bouton droit sur l'objet Utilisateurs et choisissez Nouveau, puis Utilisateur.

3. Saisissez le prénom, le nom de famille et le nom de connexion de l'utilisateur. Cliquez sur Next (Suivant).

4. Saisissez un mot de passe pour l'utilisateur. Ne sélectionnez pas « L'utilisateur doit modifier le mot de passe lors de sa prochaine connexion ». Ne sélectionnez pas « Le compte est désactivé ». Cliquez sur Next (Suivant).

5. Cliquez sur OK. Votre nouvel utilisateur apparaîtra sous votre domaine.

Étape 3 : Déléguer le contrôle à l'utilisateur AD

Pour déléguer le contrôle à l'utilisateur du domaine AD dans votre domaine

1. Ouvrez le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory et sélectionnez le domaine où vous souhaitez créer votre utilisateur.

2. Cliquez avec le bouton droit sur l'unité d'organisation que vous avez créée précédemment et choisissez Déléguer le contrôle.

3. Sur la page Assistant Délégation de contrôle, cliquez sur Suivant.

4. Dans la section Utilisateurs ou groupes, cliquez sur Ajouter.

5. Dans la section Sélectionner les utilisateurs, les ordinateurs ou les groupes, entrez l'utilisateur AD que vous avez créé et cliquez sur Vérifier les noms. Si votre vérification de l'utilisateur AD aboutit, cliquez sur OK.

6. Dans la section Utilisateurs ou groupes, confirmez que votre utilisateur AD a été ajouté et cliquez sur Suivant.

7. Dans la section Tâches à déléguer, choisissez Créer une tâche personnalisée à déléguer et cliquez sur Suivant.

8. Dans la section Type d'objet Active Directory :

   1. Choisissez Seulement les objets suivants dans le dossier.

   2. Sélectionnez Objets informatiques.

   3. Sélectionnez Créer les objets sélectionnés dans ce dossier.

   4. Sélectionnez Supprimer les objets sélectionnés dans ce dossier et cliquez sur Suivant.

9. Dans la section Autorisations :

   1. Gardez l'option Général sélectionnée.

   2. Sélectionnez Écriture validée sur le nom d'hôte DNS.

   3. Sélectionnez Écriture validée sur le nom du principal de service et cliquez sur Suivant.

10. Pour Fin de l'Assistant Délégation de contrôle, passez en revue et confirmez vos paramètres, puis cliquez sur Terminer.

Étape 4 : Création d'une AWS KMS clé

La clé KMS est utilisée pour chiffrer votre AWS secret.

Pour créer une AWS KMS clé

Note

Pour la clé de chiffrement, n'utilisez pas la clé KMS AWS par défaut. Assurez-vous de créer la AWS KMS clé dans le même AWS compte qui contient l'instance de base de données RDS pour SQL Server que vous souhaitez joindre à votre AD autogéré.

1. Dans la AWS KMS console, choisissez Create key.

2. Pour Type de clé, choisissez Symétrique.

3. Pour Utilisation de la clé, choisissez Chiffrer et déchiffrer.

4. Pour Options avancées :

   1. Pour Origine des clés, choisissez KMS.

   2. Pour Régionalité, choisissez Clé à région unique et cliquez sur Suivant.

5. Pour Alias, attribuez un nom à la clé KMS.

6. (Facultatif) Pour Description, fournissez une description de la clé KMS.

7. (Facultatif) Pour Balises, spécifiez une balise pour la clé KMS et cliquez sur Suivant.

8. Pour Administrateurs de clé, spécifiez le nom d'un utilisateur IAM et sélectionnez-le.

9. Pour Suppression de clé, laissez la case cochée pour Autoriser les administrateurs de clé à supprimer cette clé et cliquez sur Suivant.

10. Pour Utilisateurs de clé, spécifiez le même utilisateur IAM que celui de l'étape précédente et sélectionnez-le. Cliquez sur Next (Suivant).

11. Passez en revue la configuration.

12. Pour Stratégie de clé, ajoutez ce qui suit à la déclaration de stratégie :

    {
        "Sid": "Allow use of the KMS key on behalf of RDS",
        "Effect": "Allow",
        "Principal": {
            "Service": [
                "rds.amazonaws.com"
            ]
        },
        "Action": "kms:Decrypt",
        "Resource": "*"
    }

13. Cliquez sur Finish.

Étape 5 : Créez un AWS secret

Pour créer un secret

Note

Assurez-vous de créer le secret dans le même AWS compte qui contient l'instance de base de données RDS pour SQL Server que vous souhaitez joindre à votre AD autogéré.

1. Dans AWS Secrets Manager, choisissez Enregistrer un nouveau secret.

2. Pour Secret type (Type de secret), choisissez Other type of secret (Autre type de secret).

3. Pour Paires clé/valeur, ajoutez vos deux clés :

   1. Pour la première clé, entrez SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME.

   2. Pour la valeur de la première clé, entrez uniquement le nom d'utilisateur (sans le préfixe de domaine) de l'utilisateur AD. N'incluez pas le nom de domaine car cela entraîne l'échec de la création de l'instance.

   3. Pour la deuxième clé, entrez SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD.

   4. Pour la valeur de la deuxième clé, saisissez le mot de passe que vous avez créé pour l'utilisateur AD sur votre domaine.

4. Pour Clé de chiffrement, saisissez la clé KMS que vous avez créée à une étape précédente et cliquez sur Suivant.

5. Dans Nom du secret, saisissez un nom descriptif qui vous aidera à rechercher votre secret ultérieurement.

6. (Facultatif) Pour Description, saisissez une description du nom du secret.

7. Pour Autorisation des ressources, cliquez sur Modifier.

8. Ajoutez la politique suivante à la politique d'autorisation :

   Note

   Nous vous recommandons d'utiliser les conditions aws:sourceAccount et aws:sourceArn dans la politique pour éviter le problème de l’adjoint confus. Utilisez votre Compte AWS for aws:sourceAccount et l'ARN de votre instance de base de données RDS pour SQL Server pouraws:sourceArn. Pour de plus amples informations, veuillez consulter Prévention des problèmes d'adjoint confus entre services.

   JSON

   {
       "Version": "2012-10-17",
       "Statement":
       [
           {
               "Effect": "Allow",
               "Principal":
               {
                   "Service": "rds.amazonaws.com"
               },
               "Action": "secretsmanager:GetSecretValue",
               "Resource": "*",
               "Condition":
               {
                   "StringEquals":
                   {
                       "aws:sourceAccount": "123456789012"
                   },
                   "ArnLike":
                   {
                       "aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
                   }
               }
           }
       ]
   }
   

9. Cliquez sur Enregistrer, puis sur Suivant.

10. Pour Configurer les paramètres de rotation, conservez les valeurs par défaut et choisissez Suivant.

11. Passez en revue les paramètres du secret et cliquez sur Stocker.

12. Choisissez le secret que vous avez créé et copiez la valeur de l'ARN du secret. Il sera utilisé à l'étape suivante pour configurer Active Directory autogéré.

Étape 6 : Créer ou modifier une instance de base de données SQL Server

Vous pouvez utiliser la console, l'interface de ligne de commande ou l'API RDS pour associer une instance de base de données RDS for SQL Server à un domaine AD autogéré. Vous pouvez effectuer cette opération de différentes manières :

• Créez une nouvelle instance de base de données SQL Server à l'aide de la console, de la commande create-db-instanceCLI ou de l'opération Create DBInstance RDS API.

  Pour obtenir des instructions, veuillez consulter Création d'une instance de base de données Amazon RDS.

• Modifiez une instance de base de données SQL Server existante à l'aide de la console, de la commande modify-db-instanceCLI ou de l'opération DBInstanceModify RDS API.

  Pour obtenir des instructions, veuillez consulter Modification d'une RDS instance de base de données Amazon.

• Restaurez une instance de base de données SQL Server à partir d'un instantané de base de données à l'aide de la console, de la commande CLI restore-db-instance-from-db-snapshot ou de l'opération DBInstance Restore DBSnapshot From RDS API.

  Pour obtenir des instructions, veuillez consulter Restauration vers une instance de base de données.

• Restaurez une instance de base de données SQL Server à point-in-time l'aide de la console, de la commande restore-db-instance-to- point-in-time CLI ou de l'opération Restore DBInstance ToPointInTime RDS API.

  Pour obtenir des instructions, veuillez consulter Restauration d'une instance de base de données à une heure spécifiée pour Amazon RDS.

Lorsque vous utilisez le AWS CLI, les paramètres suivants sont requis pour que l'instance de base de données puisse utiliser le domaine Active Directory autogéré que vous avez créé :

• Pour le paramètre --domain-fqdn, utilisez le nom de domaine complet (FQDN) de votre annuaire Active Directory autogéré.

• Pour le paramètre --domain-ou, utilisez l'unité d'organisation que vous avez créée dans votre annuaire AD autogéré.

• Pour le paramètre --domain-auth-secret-arn, utilisez la valeur de l'ARN du secret que vous avez créé dans une étape précédente.

• Pour le --domain-dns-ips paramètre, utilisez les IPv4 adresses principale et secondaire des serveurs DNS de votre AD autogéré. Si vous ne possédez pas d'adresse IP de serveur DNS secondaire, entrez deux fois l'adresse IP principale.

Les exemples de commandes CLI suivants montrent comment créer, modifier et supprimer une instance de base de données RDS for SQL Server avec un domaine AD autogéré.

Important

Si vous modifiez une instance de base de données pour la joindre à un domaine AD autogéré ou pour l'en supprimer, un redémarrage de l'instance de base de données est requis pour que la modification prenne effet. Vous pouvez choisir d'appliquer les modifications immédiatement ou d'attendre la prochaine fenêtre de maintenance. Le choix de l'option Appliquer immédiatement entraînera un temps d'arrêt pour l'instance de base de données mono-AZ. Une instance de base de données multi-AZ effectuera un basculement avant de terminer le redémarrage. Pour de plus amples informations, veuillez consulter Utilisation du paramètre de modification du calendrier.

La commande CLI suivante crée une nouvelle instance de base de données RDS for SQL Server et la joint à un domaine AD autogéré.

Pour LinuxmacOS, ou Unix :

aws rds create-db-instance \
    --db-instance-identifier my-DB-instance \
    --db-instance-class db.m5.xlarge \
    --allocated-storage 50 \
    --engine sqlserver-se \
    --engine-version 15.00.4043.16.v1 \
    --license-model license-included \
    --master-username my-master-username \
    --master-user-password my-master-password \
    --domain-fqdn my_AD_domain.my_AD.my_domain \
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Dans Windows :

aws rds create-db-instance ^
    --db-instance-identifier my-DB-instance ^
    --db-instance-class db.m5.xlarge ^
    --allocated-storage 50 ^
    --engine sqlserver-se ^
    --engine-version 15.00.4043.16.v1 ^
    --license-model license-included ^
    --master-username my-master-username ^
    --master-user-password my-master-password ^
    --domain-fqdn my-AD-test.my-AD.mydomain ^
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ ^
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

La commande CLI suivante modifie une instance de base de données RDS for SQL Server existante afin d'utiliser un domaine Active Directory autogéré.

Pour LinuxmacOS, ou Unix :

aws rds modify-db-instance \
    --db-instance-identifier my-DB-instance \
    --domain-fqdn my_AD_domain.my_AD.my_domain \
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ 
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Dans Windows :

aws rds modify-db-instance ^
    --db-instance-identifier my-DBinstance ^
    --domain-fqdn my_AD_domain.my_AD.my_domain ^
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" ^ 
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

La commande CLI suivante supprime une instance de base de données RDS for SQL Server d'un domaine Active Directory autogéré.

Pour LinuxmacOS, ou Unix :

aws rds modify-db-instance \
    --db-instance-identifier my-DB-instance \
    --disable-domain

Dans Windows :

aws rds modify-db-instance ^
    --db-instance-identifier my-DB-instance ^
    --disable-domain

Étape 7 : Créer des connexions SQL Server pour l'authentification Windows

Utilisez les informations d'identification de l'utilisateur principal Amazon RDS pour vous connecter à l'instance de base de données SQL Server de la même manière qu'à n'importe quelle instance de base de données. Étant donné que l'instance de base de données est jointe au domaine AD autogéré, vous pouvez provisionner des connexions et des utilisateurs SQL Server. Pour ce faire, utilisez l'utilitaire Utilisateurs et groupes AD de votre domaine AD autogéré. Les autorisations pour la base de données sont gérées via des autorisations SQL Server standard accordées et révoquées en fonction des connexions Windows.

Pour qu'un utilisateur AD autogéré puisse s'authentifier à SQL Server, une connexion Windows SQL Server doit exister pour l'utilisateur AD autogéré ou un groupe Active Directory autogéré dont l'utilisateur est membre. Un contrôle précis des accès est géré par l'attribution ou la révocation d'autorisations pour ces connexions SQL Server. Un utilisateur AD autogéré qui n'a pas de connexion SQL Server ou qui n'appartient pas à un groupe AD autogéré avec une telle connexion ne peut pas accéder à l'instance de base de données SQL Server.

L'autorisation ALTER ANY LOGIN est requise pour créer une connexion SQL Server à AD autogéré. Si vous n'avez pas créé de connexion avec cette autorisation, connectez vous en tant qu'utilisateur principal de l'instance de base de données à l'aide de l'authentification SQL Server et créez vos connexions SQL Server à AD autogéré dans le contexte de l'utilisateur principal.

Vous pouvez exécuter une commande DDL (Data Definition Language) telle que la suivante afin de créer une connexion SQL Server pour un utilisateur ou un groupe AD autogéré.

Note

Spécifiez les utilisateurs et les groupes à l'aide du nom de connexion antérieur à Windows 2000 au format my_AD_domain\my_AD_domain_user. Vous ne pouvez pas utiliser un nom d'utilisateur principal (UPN) au format my_AD_domain_user@my_AD_domain.

USE [master]
GO
CREATE LOGIN [my_AD_domain\my_AD_domain_user] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO

Pour plus d'informations, consultez CREATE LOGIN (Transact-SQL) dans la documentation de Microsoft Developer Network.

Les utilisateurs (personnes et applications) de votre domaine peuvent désormais se connecter à l'instance RDS for SQL Server à partir d'un ordinateur client joint au domaine AD autogéré à l'aide de l'authentification Windows.