Configurazione di Active Directory gestito dal cliente

Per configurare AD gestito dal cliente, procedi nel seguente modo.

Fase 1: creazione di un'unità organizzativa in AD

Importante

Ti consigliamo di creare un'unità organizzativa dedicata e una credenziale di servizio con ambito a tale unità organizzativa per qualsiasi AWS account che possiede un'istanza DB RDS per SQL Server aggiunto al tuo dominio AD autogestito. Dedicando un'unità organizzativa e le credenziali di servizio, puoi evitare autorizzazioni in conflitto e seguire il principio del privilegio minimo.

Creazione di un'unità organizzativa in AD

1. Stabilisci una connessione al dominio AD come amministratore del dominio.

2. Apri Utenti e computer di Active Directory e seleziona il dominio in cui desideri creare l'unità organizzativa.

3. Fai clic con il pulsante destro del mouse sul dominio e scegli Nuovo, quindi Unità organizzativa.

4. Inserisci un nome per l'unità operativa.

5. Mantieni selezionata la casella Proteggi il container dall'eliminazione accidentale.

6. Fai clic su OK. La nuova unità organizzativa apparirà sotto il dominio.

Fase 2: creazione un utente di dominio AD in AD

Le credenziali dell'utente del dominio verranno utilizzate per il segreto in AWS Secrets Manager.

Creazione di un utente di dominio AD in AD

1. Apri Utenti e computer di Active Directory e seleziona il dominio e l'unità organizzativa in cui desideri creare l'utente.

2. Fai clic con il pulsante destro del mouse sull'oggetto Utenti, scegli Nuovo, quindi Utente.

3. Immetti il nome, il cognome e il nome di accesso per l'utente. Fai clic su Next (Successivo).

4. Immetti una password per l'utente. Non selezionare "L'utente deve cambiare la password al prossimo accesso". Non selezionare "L'account è disabilitato". Fai clic su Next (Successivo).

5. Fai clic su OK. Il nuovo utente apparirà sotto il dominio.

Fase 3: delega del controllo all'utente AD

Delega del controllo all'utente del dominio AD nel dominio

1. Apri lo snap-in MMC Utenti e computer di Active Directory e seleziona il dominio e l'unità organizzativa in cui desideri creare l'utente.

2. Fai clic con il pulsante destro del mouse sull'unità organizzativa creata in precedenza e scegli Controllo delegato.

3. Nella pagina Delega guidata del controllo, fai clic su Avanti.

4. Nella sezione Utenti o gruppi, fai clic su Aggiungi.

5. Nella sezione Seleziona utenti, computer o gruppi, inserisci l'utente AD creato in precedenza e fai clic su Controlla nomi. Se il controllo degli utenti AD ha esito positivo, fai clic su OK.

6. Nella sezione Utenti o gruppi, conferma che l'utente AD è stato aggiunto e fai clic su Avanti.

7. Nella pagina Operazioni da delegare, seleziona Crea un'operazione personalizzata da delegare, quindi scegli Avanti.

8. Nella sezione Tipo di oggetto Active Directory:

   1. Seleziona Solo i seguenti oggetti contenuti nella cartella.

   2. Seleziona Oggetti del computer.

   3. Seleziona Crea oggetti selezionati in questa cartella.

   4. Seleziona Elimina gli oggetti selezionati in questa cartella e fai clic su Avanti.

9. Nella sezione Autorizzazioni:

   1. Mantieni selezionata l'opzione Generale.

   2. Seleziona Scrittura convalidata in nome host DNS.

   3. Seleziona Scrittura convalidata in nome principale servizio e fai clic su Avanti.

10. Per completare la procedura guidata di delega del controllo, rivedi e conferma le impostazioni e fai clic su Fine.

Fase 4: Creare una AWS KMS chiave

La chiave KMS viene utilizzata per crittografare il tuo AWS segreto.

Per creare una chiave AWS KMS

Nota

Per la chiave di crittografia, non utilizzare la chiave KMS AWS predefinita. Assicurati di creare la AWS KMS chiave nello stesso AWS account che contiene l'istanza DB di RDS per SQL Server a cui desideri aggiungere al tuo AD autogestito.

1. Nella AWS KMS console, scegli Crea chiave.

2. In Tipo di chiave, scegli Simmetrica.

3. In Utilizzo delle chiavi, scegli Crittografa e decrittografa.

4. In Advanced options (Opzioni avanzate):

   1. In Origine materiale chiave, scegli KMS.

   2. In Regionalità, scegli Chiave a regione singola e fai clic su Avanti.

5. In Alias, fornisci un nome per la chiave KMS.

6. (Facoltativo) In Descrizione, immetti una descrizione per la chiave KMS.

7. (Facoltativo) In Tag, inserisci un tag come chiave KMS e fai clic su Avanti.

8. In Amministratori delle chiavi, fornisci il nome di un utente IAM e selezionalo.

9. In Eliminazione chiave, mantieni selezionata la casella Consenti agli amministratori delle chiavi di eliminare questa chiave e fai clic su Avanti.

10. In Utenti delle chiavi, fornisci lo stesso utente IAM della fase precedente e selezionalo. Fai clic su Next (Successivo).

11. Riesamina la configurazione.

12. In Policy delle chiavi, includi quanto segue nel campo Dichiarazione associato alla policy:

    {
        "Sid": "Allow use of the KMS key on behalf of RDS",
        "Effect": "Allow",
        "Principal": {
            "Service": [
                "rds.amazonaws.com"
            ]
        },
        "Action": "kms:Decrypt",
        "Resource": "*"
    }

13. Fare clic su Fine.

Passaggio 5: crea un AWS segreto

Per creare un segreto

Nota

Assicurati di creare il segreto nello stesso AWS account che contiene l'istanza DB di RDS per SQL Server a cui desideri aggiungere al tuo AD autogestito.

1. In AWS Secrets Manager, scegli Memorizza un nuovo segreto.

2. Per Secret type (Tipo di segreto), scegli Other type of secret (Altro tipo di segreto).

3. In Coppie chiave/valore, aggiungi le due chiavi:

   1. Per la prima chiave, immetti SELF_MANAGED_ACTIVE_DIRECTORY_USERNAME.

   2. Per il valore della prima chiave, inserisci solo il nome utente (senza il prefisso del dominio) dell'utente AD. Non includete il nome di dominio in quanto ciò impedirà la creazione dell'istanza.

   3. Per la seconda chiave, immetti SELF_MANAGED_ACTIVE_DIRECTORY_PASSWORD.

   4. Per il valore della seconda chiave, immetti la password creata per l'utente AD nel dominio.

4. In Chiave di crittografia, inserisci la chiave KMS creata in una delle fasi precedenti e fai clic su Avanti.

5. In Nome del segreto, inserisci un nome descrittivo che semplifichi l'individuazione del segreto in un secondo momento.

6. (Facoltativo) In Descrizione, inserisci una descrizione per il nome del segreto.

7. In Autorizzazioni a livello di risorsa, fai clic su Modifica.

8. Aggiungi la seguente policy alla policy dell'autorizzazione:

   Nota

   Si consiglia di utilizzare le condizione aws:sourceAccount e aws:sourceArn nella policy per evitare problemi di tipo confused deputy. Usa il tuo Account AWS nome aws:sourceAccount e l'aws:sourceArnARN dell'istanza DB di RDS per SQL Server. Per ulteriori informazioni, consulta Prevenzione del problema "confused deputy" tra servizi.

   JSON

   {
       "Version": "2012-10-17",
       "Statement":
       [
           {
               "Effect": "Allow",
               "Principal":
               {
                   "Service": "rds.amazonaws.com"
               },
               "Action": "secretsmanager:GetSecretValue",
               "Resource": "*",
               "Condition":
               {
                   "StringEquals":
                   {
                       "aws:sourceAccount": "123456789012"
                   },
                   "ArnLike":
                   {
                       "aws:sourceArn": "arn:aws:rds:us-west-2:123456789012:db:*"
                   }
               }
           }
       ]
   }
   

9. Fai clic su Salva, quindi su Avanti.

10. In Configura impostazioni di rotazione, non modificare i valori predefiniti e scegli Avanti.

11. Controlla le impostazioni relative al segreto e fai clic su Archivio.

12. Scegli il segreto creato e copia il valore in ARN secreto. Questa informazione verrà utilizzata nella fase successiva per configurare Active Directory gestito dal cliente.

Fase 6: creazione o modifica di un'istanza database SQL Server

È possibile utilizzare la console, l'interfaccia della linea di comando o l'API RDS per associare un'istanza database RDS per SQL Server a un dominio AD gestito dal cliente. Questa operazione può essere eseguita in uno dei seguenti modi:

• Crea una nuova istanza DB di SQL Server utilizzando la console, il comando create-db-instanceCLI o l'operazione Create DBInstance RDS API.

  Per istruzioni, consultare Creazione di un'istanza database Amazon RDS.

• Modifica un'istanza DB di SQL Server esistente utilizzando la console, il comando modify-db-instanceCLI o l'operazione Modify DBInstance RDS API.

  Per istruzioni, consultare Modifica di un'istanza Amazon RDS DB.

• Ripristina un'istanza DB di SQL Server da uno snapshot DB utilizzando la console, il comando CLI restore-db-instance-from-db-snapshot o l'operazione Restore From RDS API. DBInstance DBSnapshot

  Per istruzioni, consultare Ripristino su un'istanza DB.

• Ripristina un'istanza DB di SQL Server point-in-time utilizzando la console, il comando restore-db-instance-to- point-in-time CLI o l'operazione Restore DBInstance ToPointInTime RDS API.

  Per istruzioni, consultare Ripristino di un'istanza DB a un'ora specificata per Amazon RDS.

Quando si utilizza il AWS CLI, sono necessari i seguenti parametri affinché l'istanza DB possa utilizzare il dominio Active Directory autogestito che è stato creato:

• Per il parametro --domain-fqdn, usa il nome di dominio completo (FQDN) del dominio Active Directory gestito dal cliente.

• Per il parametro --domain-ou, utilizza l'unità organizzativa creata nel dominio AD gestito dal cliente.

• Per il parametro --domain-auth-secret-arn, utilizza il valore riportato nel campo ARN segreto definito in una delle fasi precedenti.

• Per il --domain-dns-ips parametro, utilizza gli IPv4 indirizzi primari e secondari dei server DNS per il tuo AD autogestito. Se non disponi di un indirizzo IP secondario del server DNS, inserisci l'indirizzo IP primario due volte.

I seguenti comandi CLI di esempio mostrano come creare, modificare e rimuovere un'istanza database RDS per SQL Server con un dominio AD gestito dal cliente.

Importante

Se modifichi un'istanza database per aggiungerla o rimuoverla da un dominio AD gestito dal cliente, è necessario riavviare l'istanza database affinché la modifica abbia effetto. Puoi scegliere di applicare le modifiche subito o attendere fino alla prossima finestra di manutenzione. La selezione dell'opzione Applica immediatamente causerà tempi di inattività per le istanze database Single-AZ. Un'istanza database Multi-AZ eseguirà un failover prima di completare il riavvio. Per ulteriori informazioni, consulta Utilizzo dell'impostazione delle modifiche alla pianificazione.

Il seguente comando CLI crea una nuova istanza database RDS per SQL Server e la aggiunge a un dominio AD gestito dal cliente.

PerLinux, omacOS: Unix

aws rds create-db-instance \
    --db-instance-identifier my-DB-instance \
    --db-instance-class db.m5.xlarge \
    --allocated-storage 50 \
    --engine sqlserver-se \
    --engine-version 15.00.4043.16.v1 \
    --license-model license-included \
    --master-username my-master-username \
    --master-user-password my-master-password \
    --domain-fqdn my_AD_domain.my_AD.my_domain \
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Per Windows:

aws rds create-db-instance ^
    --db-instance-identifier my-DB-instance ^
    --db-instance-class db.m5.xlarge ^
    --allocated-storage 50 ^
    --engine sqlserver-se ^
    --engine-version 15.00.4043.16.v1 ^
    --license-model license-included ^
    --master-username my-master-username ^
    --master-user-password my-master-password ^
    --domain-fqdn my-AD-test.my-AD.mydomain ^
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ ^
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Il seguente comando CLI modifica un'istanza database RDS per SQL Server esistente in modo che utilizzi un dominio Active Directory gestito dal cliente.

Per LinuxmacOS, oUnix:

aws rds modify-db-instance \
    --db-instance-identifier my-DB-instance \
    --domain-fqdn my_AD_domain.my_AD.my_domain \
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain \
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" \ 
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Per Windows:

aws rds modify-db-instance ^
    --db-instance-identifier my-DBinstance ^
    --domain-fqdn my_AD_domain.my_AD.my_domain ^
    --domain-ou OU=my-AD-test-OU,DC=my-AD-test,DC=my-AD,DC=my-domain ^
    --domain-auth-secret-arn "arn:aws:secretsmanager:region:account-number:secret:my-AD-test-secret-123456" ^ 
    --domain-dns-ips "10.11.12.13" "10.11.12.14"

Il seguente comando CLI rimuove un'istanza database RDS per SQL Server da un dominio Active Directory gestito dal cliente.

Per LinuxmacOS, oUnix:

aws rds modify-db-instance \
    --db-instance-identifier my-DB-instance \
    --disable-domain

Per Windows:

aws rds modify-db-instance ^
    --db-instance-identifier my-DB-instance ^
    --disable-domain

Fase 7: creazione di accessi SQL Server per l'autenticazione di Windows

Utilizza le credenziali dell'utente master Amazon RDS per eseguire la connessione all'istanza database SQL Server analogamente a quanto avviene con qualsiasi altra istanza database. Poiché l'istanza database viene aggiunta al dominio AD gestito dal cliente, puoi eseguire il provisioning degli account di accesso e degli utenti di SQL Server. Puoi eseguire questa operazione dall'utilità Utenti e gruppi AD nel dominio AD gestito dal cliente. Le autorizzazioni per il database vengono gestite tramite le autorizzazioni standard di SQL Server concesse e revocate in base a questi account di accesso Windows.

Affinché un utente di Active Directory possa eseguire l'autenticazione su SQL Server, deve essere disponibile un accesso Windows SQL Server per l'utente o per un gruppo AD gestito dal cliente di cui l'utente è membro. Il controllo granulare degli accessi viene gestito assegnando o revocando le autorizzazioni per questi login di SQL Server. Un utente AD gestito dal cliente che non dispone di un accesso SQL Server o non appartiene a un gruppo AD gestito dal cliente con tale accesso, non può accedere all'istanza database SQL Server.

È necessaria l'autorizzazione ALTER ANY LOGIN per creare un accesso AD gestito dal cliente per SQL Server. Se non hai ancora creato un accesso con questa autorizzazione, esegui la connessione come utente principale dell'istanza database utilizzando l'autenticazione di SQL Server e quindi crea gli accessi AD gestiti dal cliente per SQL Server nel contesto dell'utente principale.

Esegui il comando DDL (Data Definition Language) seguente per creare un accesso per SQL Server per un utente o un gruppo Active Directory gestito dal cliente.

Nota

Specifica utenti o gruppi utilizzando il nome di accesso precedente a Windows 2000 nel formato my_AD_domain\my_AD_domain_user. Non puoi utilizzare un UPN (User Principle Name) nel formato my_AD_domain_user@my_AD_domain.

USE [master]
GO
CREATE LOGIN [my_AD_domain\my_AD_domain_user] FROM WINDOWS WITH DEFAULT_DATABASE = [master], DEFAULT_LANGUAGE = [us_english];
GO

Per maggiori informazioni, consulta CREATE LOGIN (Transact-SQL) nella documentazione di Microsoft Developer Network.

Gli utenti (persone e applicazioni) del dominio possono ora connettersi all'istanza RDS per SQL Server da un computer client associato al dominio AD gestito dal cliente utilizzando l'autenticazione Windows.