Utilisation de l’authentification Kerberos pour Amazon RDS for Db2

Vous pouvez désormais utiliser l’authentification Kerberos pour authentifier les utilisateurs lorsqu’ils se connectent à votre instance de base de données Amazon RDS for Db2. Dans cette configuration, votre instance de base de données fonctionne avec AWS Directory Service for Microsoft Active Directory, également appelé AWS Managed Microsoft AD. Vous ajoutez le domaine et les autres informations de votre annuaire AWS Managed Microsoft AD à votre instance de base de données RDS for Db2. Lorsque les utilisateurs s’authentifient auprès d’une instance de base de données RDS for Db2 jointe au domaine d’approbation, les demandes d’authentification sont transmises à l’annuaire AWS Managed Microsoft AD que vous créez avec AWS Directory Service.

Vous pouvez gagner du temps et de l’argent en conservant toutes les informations d’identification dans le même annuaire. Cette approche vous permet d'avoir un endroit centralisé de stockage et de gestion des informations d'identification pour plusieurs instances de base de données. L’utilisation d’un annuaire peut également améliorer votre profil de sécurité global.

Vous pouvez également accéder aux informations d'identification à partir de votre propre annuaire Microsoft Active Directory sur site. Pour ce faire, vous créez une relation de domaine d’approbation afin que l’annuaire AWS Managed Microsoft AD approuve votre annuaire Microsoft Active Directory sur site. De cette façon, vos utilisateurs peuvent accéder à vos instances de base de données RDS for Db2 avec la même expérience d’authentification unique (SSO) Windows que lorsqu’ils accèdent aux charges de travail de votre réseau sur site.

Pour plus d'informations, consultez Qu'est-ce qu'AWS Directory Service ? dans le Guide de l'utilisateur AWS Directory Service.

Pour plus d’informations sur l’authentification Kerberos, consultez les rubriques suivantes :

Rubriques

• Configuration de l’authentification Kerberos pour les instances de base de données Amazon RDS for Db2

• Connexion à Amazon RDS for Db2 avec l’authentification Kerberos

Disponibilité des régions et des versions

La disponibilité et la prise en charge des fonctionnalités varient selon les versions spécifiques de chaque moteur de base de données, et selon les Régions AWS. Pour plus d’informations sur la disponibilité des versions et des régions de RDS for Db2 avec l’authentification Kerberos, consultez Régions et moteurs de base de données pris en charge pour l’authentification Kerberos dans Amazon RDS.

Note

L’authentification Kerberos n’est pas prise en charge pour les classes d’instance de base de données qui sont obsolètes pour les instances de base de données RDS for Db2. Pour plus d’informations, consultez Classes d’instance Amazon RDS for Db2.

Présentation de l’authentification Kerberos pour les instances de bases de données RDS for Db2

Pour configurer l’authentification Kerberos pour une instance de base de données RDS for Db2, effectuez les étapes générales suivantes, décrites plus en détails par la suite :

1. Utilisez AWS Managed Microsoft AD pour créer un annuaire AWS Managed Microsoft AD. Vous pouvez utiliser la AWS Management Console, l’AWS Command Line Interface (AWS CLI) ou l’AWS Directory Service pour créer l’annuaire. Pour plus d’informations, consultez Créer votre annuaire AWS Managed Microsoft AD dans le Guide d’administration AWS Directory Service.

2. Créez un rôle AWS Identity and Access Management (IAM) utilisant la politique IAM gérée AmazonRDSDirectoryServiceAccess. Le rôle IAM autorise Amazon RDS à effectuer des appels vers votre annuaire.

   Pour que le rôle IAM autorise l’accès, le point de terminaison AWS Security Token Service (AWS STS) doit être activé dans la bonne Région AWS pour votre Compte AWS. Les points de terminaison AWS STS sont actifs par défaut dans toutes les Régions AWS et vous pouvez les utiliser sans qu’aucune autre action soit nécessaire. Pour plus d’informations, consultez Activation et désactivation d’AWS STS dans une Région AWS dans le Guide de l’utilisateur IAM.

3. Créez ou modifiez une instance de base de données RDS for Db2 en utilisant la AWS Management Console, l’AWS CLI ou l’API RDS à l’aide de l’une des méthodes suivantes :

   • Créez une nouvelle instance de base de données RDS for Db2 à l’aide de la console, de la commande create-db-instance ou de l’opération d’API CreateDBInstance. Pour obtenir des instructions, consultez Création d'une instance de base de données Amazon RDS.

   • Modifiez une instance de base de données RDS for Db2 à l’aide de la console, de la commande modify-db-instance ou de l’opération d’API ModifyDBInstance. Pour obtenir des instructions, consultez Modification d'une instance de base de données Amazon RDS.

   • Restaurez une instance de base de données RDS for Db2 à partir d’un instantané de base de données à l’aide de la console, de la commande restore-db-instance-from-db-snapshot ou de l’opération d’API RestoreDBInstanceFromDBSnapshot. Pour obtenir des instructions, consultez Restauration d’une instance de base de données.

   • Restaurez une instance de base de données RDS for Db2 à un moment donné à l’aide de la console, de la commande restore-db-instance-to-point-in-time ou de l’opération d’API RestoreDBInstanceToPointInTime. Pour obtenir des instructions, consultez Restauration d’une instance de base de données à un instant précis pour Amazon RDS.

   Vous pouvez rechercher l’instance de base de données dans le même cloud privé virtuel (VPC) Amazon que l’annuaire, ou dans un autre Compte AWS ou un autre VPC. Lors de la création ou de la modification de l’instance de base de données RDS for Db2, procédez comme suit :

   • Fournissez l’identifiant du domaine (identifiant d-*) qui a été généré lors de la création de votre annuaire.

   • Fournissez le nom du rôle IAM que vous avez créé.

   • Veillez à ce que le groupe de sécurité de l’instance de base de données puisse recevoir le trafic entrant depuis le groupe de sécurité de l’annuaire.

4. Configurez votre client Db2 et vérifiez que le trafic peut circuler entre l’hôte du client et AWS Directory Service pour les ports suivants :

   • TCP/UDP port 53 – DNS

   • TCP 88 — authentification Kerberos

   • TCP 389 – LDAP

   • TCP 464 — authentification Kerberos

Gestion d’une instance de base de données dans un domaine

Vous pouvez utiliser la AWS Management Console, l’AWS CLI ou l’API RDS pour gérer votre instance de base de données et sa relation avec votre Microsoft Active Directory. Par exemple, vous pouvez associer un annuaire Active Directory de façon à activer l’authentification Kerberos. Vous pouvez également supprimer l’association d’un annuaire Active Directory pour désactiver l’authentification Kerberos. Vous pouvez également transférer une instance de base de données vers une autre afin qu’elle soit authentifiée en externe par un Microsoft Active Directory.

Par exemple, en exécutant la commande de l’interface de ligne de commande (CLI) modify-db-instance, vous pouvez effectuer les actions suivantes :

• Retenter l’activation de l’authentification Kerberos en cas d’échec d’appartenance en spécifiant l’ID d’annuaire d’appartenance actuel pour l’option --domain.

• Désactiver l’authentification Kerberos sur une instance de base de données en spécifiant none pour l’option --domain.

• Transférer une instance de base de données d’un domaine vers un autre en spécifiant l’identifiant du nouveau domaine pour l’option --domain.

Présentation de l’appartenance au domaine

Après la création ou la modification de votre instance de base de données, elle devient un membre du domaine. Vous pouvez consulter le statut de l’appartenance au domaine dans la console ou en exécutant la commande describe-db-instances. Le statut de l’instance de base de données peut avoir les valeurs suivantes :

• kerberos-enabled : l’instance de base de données a l’authentification Kerberos activée.

• enabling-kerberos : AWS est le processus d’activation de l’authentification Kerberos sur cette instance de base de données.

• pending-enable-kerberos : l’activation de l’authentification Kerberos est en attente sur cette instance de base de données.

• pending-maintenance-enable-kerberos : AWS tentera d’activer l’authentification Kerberos sur cette instance de base de données lors de la prochaine fenêtre de maintenance planifiée.

• pending-disable-kerberos : la désactivation de l’authentification Kerberos est en attente sur cette instance de base de données.

• pending-maintenance-disable-kerberos : AWS tentera de désactiver l’authentification Kerberos sur cette instance de base de données lors de la prochaine fenêtre de maintenance planifiée.

• enable-kerberos-failed : un problème de configuration a empêché AWS d’activer l’authentification Kerberos sur l’instance de base de données. Corrigez le problème de configuration avant de réémettre la commande de modification de l’instance de base de données.

• disabling-kerberos : AWS est en train de désactiver l’authentification Kerberos sur cette instance de base de données.

Une demande d’activation de l’authentification Kerberos peut échouer à cause d’un problème de connectivité réseau ou d’un rôle IAM incorrect. Dans certains cas, la tentative d’activation de l’authentification Kerberos peut échouer lorsque vous créez ou modifiez une instance de base de données. Si tel est le cas, vérifiez que vous utilisez le rôle IAM correct, puis modifiez l’instance de base de données afin qu’elle soit attachée au domaine.