RDS for SQL Server를 사용하여 AWS 관리형 Active Directory 작업 - Amazon Relational Database Service
리전 및 버전 사용 가능 여부Windows 인증 설정 개요DB 인스턴스 복원 및 도메인에 추가

RDS for SQL Server를 사용하여 AWS 관리형 Active Directory 작업

사용자가 RDS for SQL Server DB 인스턴스에 연결할 때 AWS Managed Microsoft AD를 통해 Windows 인증으로 사용자를 인증할 수 있습니다. DB 인스턴스는 AWS Directory Service for Microsoft Active Directory라고도 하는 AWS Managed Microsoft AD과 함께 작동하여 Windows 인증을 활성화합니다. 사용자가 신뢰할 수 있는 도메인에 가입된 SQL Server DB 인스턴스를 사용하여 인증할 경우 AWS Directory Service를 사용하여 만든 도메인 디렉터리에 인증 요청이 전달됩니다.

리전 및 버전 사용 가능 여부

Amazon RDS는 AWS Managed Microsoft AD를 Windows 인증에만 사용할 수 있도록 지원합니다. RDS는 AD Connector 사용을 지원하지 않습니다. 자세한 내용은 다음 자료를 참조하세요.

버전 및 리전 가용성에 관한 자세한 내용은 Kerberos 인증을 사용하는 RDS for SQL Server를 참조하세요.

Windows 인증 설정 개요

Amazon RDS는 Windows 인증에 혼합 모드를 사용합니다. 이 접근 방식에서 마스터 사용자(SQL Server DB 인터페이스를 생성하는 데 사용된 이름과 암호)는 SQL 인증을 사용합니다. 마스터 사용자 계정은 권한 있는 자격 증명이므로 이 계정에 대한 액세스를 제한해야 합니다.

온프레미스 또는 자체 호스팅된 Microsoft Active Directory를 사용하여 Windows 인증을 얻으려면 포리스트 신뢰를 생성합니다. 단방향 또는 양방향 트러스트가 가능합니다. AWS Directory Service를 사용하여 포리스트 신뢰를 설정하는 방법에 대한 자세한 내용은 AWS Directory Service 관리 안내서신뢰 관계를 생성해야 하는 경우를 참조하십시오.

SQL Server DB 인스턴스에 대한 Windows 인증을 설정하려면 SQL Server DB 인스턴스에 대한 Windows 인증 설정에 자세히 설명된 다음 단계를 수행합니다.

  1. AWS Managed Microsoft AD 또는 AWS Management Console API에서 AWS Directory Service를 사용하여 AWS Managed Microsoft AD 디렉터리를 생성합니다.

  2. AWS CLI 또는 Amazon RDS API를 사용하여 SQL Server DB 인스턴스를 생성하는 경우 AWS Identity and Access Management(IAM) 역할을 생성합니다. 이 역할은 관리형 IAM 정책 AmazonRDSDirectoryServiceAccess를 사용하며 이 역할을 통해 Amazon RDS에서 디렉터리를 호출할 수 있습니다. 콘솔을 사용하여 SQL Server DB 인스턴스를 생성하는 경우 AWS에서 IAM 역할을 자동으로 생성합니다.

    역할이 액세스를 허용하려면 AWS Security Token Service 리전에서 AWS STS 계정의 AWS(AWS) 엔드포인트를 활성화해야 합니다. AWS STS 엔드포인트는 기본적으로 모든 AWS 리전에서 활성화되어 있으므로 더 이상의 조치 없이 사용할 수 있습니다. 자세한 내용은 IAM 사용 설명서AWS 리전에서 AWS STS 관리를 참조하세요.

  3. Microsoft Active Directory 도구를 사용하여 AWS Managed Microsoft AD 디렉터리에서 사용자 및 그룹을 만들고 구성합니다. Active Directory에서 사용자 및 그룹을 생성하는 방법에 대한 자세한 내용은 AWS Directory Service 관리 안내서의 에서 AWS Managed Microsoft AD에서 사용자 및 그룹 관리를 참조하세요.

  4. 디렉터리와 DB 인스턴스를 다른 VPC에 배치하려면 VPC 간 트래픽을 활성화하십시오.

  5. Amazon RDS를 사용하여 콘솔, AWS CLI 또는 Amazon RDS API에서 새 SQL Server DB 인스턴스를 생성합니다. 생성 요청에서 디렉터리를 만들 때 생성된 도메인 식별자("d-*" 식별자)와 생성된 역할의 이름을 제공합니다. DB 인스턴스에 대한 도메인 및 IAM 역할 파라미터를 설정하여 Windows 인증을 사용하도록 기존 SQL Server DB 인스턴스를 수정할 수도 있습니다.

  6. 다른 DB 인스턴스의 경우와 같은 방법으로 Amazon RDS 마스터 사용자 자격 증명을 사용하여 SQL Server DB 인스턴스에 연결합니다. DB 인스턴스는 AWS Managed Microsoft AD 도메인에 조인되므로 도메인에 있는 Active Directory 사용자 및 그룹의 SQL Server 로그인과 사용자를 프로비저닝할 수 있습니다. (이를 SQL Server "Windows" 로그인이라고 합니다.) 데이터베이스 권한은 이러한 Windows 로그인에 부여되거나 취소되는 표준 SQL Server 권한을 통해 관리됩니다.

SQL Server DB 인스턴스를 복원한 후 도메인에 추가

DB 스냅샷을 복원하거나 SQL Server DB 인스턴스에 대한 특정 시점 복구(PITR)를 수행한 후 도메인에 추가할 수 있습니다. DB 인스턴스가 복원된 후 5단계: SQL Server DB 인스턴스 생성 또는 수정에 설명된 프로세스를 사용하여 DB 인스턴스를 도메인에 추가하도록 인스턴스를 수정합니다.