本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用可信上下文保护和简化用户在 Db2 联合数据库中的访问权限 AWS
由 Sai Parthasaradhi 创作 () AWS
摘要
许多公司正在将其传统的大型机工作负载迁移到 Amazon Web Services (AWS)。此次迁移包括将适用于 z/OS 数据库的 IBM Db2 转移到亚马逊弹性计算云(亚马逊)LUW上适用于 Linux、Unix 和 Windows 的 Db2 ()。EC2在从本地到本地的分阶段迁移过程中AWS,用户可能需要访问 IBM Db2 z/OS 和 A EC2 mazon LUW 上的 Db2 中的数据,直到所有应用程序和数据库都完全迁移到 Db2。LUW鉴于不同平台使用不同身份验证机制,故在该远程数据访问场景中进行用户身份验证可能具有挑战性。
此模式介绍如何在 Db2 上设置联合服务器,将 db2 f LUW or z/OS 作为远程数据库。该模式使用可信上下文将用户的身份从 Db2 传播到 Db2 z/OSLUW,而无需在远程数据库上重新进行身份验证。有关可信上下文的更多信息,请参阅其他信息部分。
先决条件和限制
先决条件
一个活跃的AWS账户
在 Amazon EC2 实例上运行的 Db2 实例
在本地运行的适用于z/OS 数据库的远程 Db2
AWS通过AWS Site-to-SiteVPN
或 Di AWSrect Connect 连接 的本地网络
架构
目标架构
工具
AWS 服务
亚马逊弹性计算云 (AmazonEC2) 在AWS云中提供可扩展的计算容量。您可以根据需要启动任意数量的虚拟服务器,并快速扩展或缩减它们。
AWS Site-to-SiteVPN帮助您在启动的实例AWS和您自己的远程网络之间传递流量。
其他服务
db2cli
是 Db2 交互式命令行界面 () CLI 命令。
操作说明
任务 | 描述 | 所需技能 |
---|---|---|
在DB2LUW数据库上启用联合。 | 要启用联合 DB2LUW,请运行以下命令。
| DBA |
重新启动数据库。 | 若要重新启动数据库,请运行以下命令。
| DBA |
任务 | 描述 | 所需技能 |
---|---|---|
对远程 Db2 z/OS 子系统编目。 | 要对LUW正在运行的 Db2 上的远程 Db2 z/OS 数据库进行编目AWS,请使用以下示例命令。
| DBA |
对远程数据库编目。 | 要对远程数据库进行编目,请使用以下示例命令。
| DBA |
任务 | 描述 | 所需技能 |
---|---|---|
收集远程 Db2 z/OS 数据库用户凭证。 | 在继续执行后续步骤前,请收集以下信息:
| DBA |
创建DRDA包装器。 | 要创建DRDA包装器,请运行以下命令。
| DBA |
创建服务器定义。 | 若要创建服务器定义,请运行以下示例命令。
在此定义中, | DBA |
任务 | 描述 | 所需技能 |
---|---|---|
为代理用户创建用户映射。 | 若要创建代理用户的用户映射,请运行以下命令。
| DBA |
在 Db2 LUW 上为每个用户创建用户映射。 | 为 Db2 LUW 数据库上所有需要通过代理用户访问远程数据的AWS用户创建用户映射。若要创建用户组映射,请运行以下命令。
该语句指定 Db2 LUW ( | DBA |
任务 | 描述 | 所需技能 |
---|---|---|
创建可信上下文对象 | 若要在远程 Db2 z/OS 数据库上创建可信上下文对象,请使用以下示例命令。
在此定义中, | DBA |
相关资源
其他信息
Db2 可信上下文
可信上下文是定义了联合服务器和远程数据库服务器的信任关系的 Db2 数据库对象。若要定义信任关系,则利用可信上下文指定信任属性。有三类可信属性:
发出初始数据库连接请求的系统授权 ID
建立连接的 IP 地址或域名
数据库服务器和数据库客户端之间的数据通信加密设置
当连接请求的所有属性都与服务器上定义的任何可信上下文对象中指定的属性匹配时,就会建立可信连接。有两类可信连接:隐式连接与显式连接。建立隐式可信连接后,用户将继承在该可信连接定义范围之外无法使用的角色。建立显式可信连接后,无论是否进行身份验证,都可在同一个物理连接上切换用户。此外,可向 Db2 用户授予用于指定仅限可信连接使用的权限的角色。此模式使用了显式可信连接。
此模式下的可信上下文
模式完成后,PERSON1在 Db2 上使用联合LUW可信上下文访问来自 Db2 z/OS 的远程数据。如果连接来自PERSON1可信上下文定义中指定的 IP 地址或域名,则通过代理用户建立连接。建立连接后,无需重新进行身份验证即可切换相应PERSON1的 Db2 z/OS 用户 ID,并且用户可以根据为该用户设置的 Db2 权限访问数据或对象。
联合可信上下文的优势
此方法坚持了最低权限原则,避免了通用用户 ID 或应用程序 ID 获取所有用户所需权限的超集。
在联合身份验证数据库和远程数据库执行事务的用户的真实身份始终为已知并可予以审计。
性能得到提高,因为用户之间可以重复使用物理连接,无需联合服务器重新进行身份验证。