本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用受信任的內容,在 AWS 上的 Db2 聯合資料庫中保護和簡化使用者存取
創建者:西帕薩拉迪(AWS)
環境:PoC 或試點 | 技術:資料庫;安全性、身分識別、合規性 | 工作負載:IBM |
AWS 服務:Amazon EC2 |
Summary
許多公司正在將其舊式大型主機工作負載遷移到亞馬遜網路服務 (AWS)。這項遷移包括在 Amazon 彈性運算雲端 (亞馬遜 EC2) 上將 IBM Db2 (適用於 z/OS) 資料庫轉移到適用於 Linux、Unix 和視窗 (LUW) 的 Db2。在從現場部署到 AWS 的階段遷移期間,使用者可能需要存取 IBM Db2 z/OS 和 Amazon EC2 上 Db2 LUW 中的資料,直到所有應用程式和資料庫都完全遷移到 Db2 LUW 為止。在此類遠端資料存取案例中,使用者驗證可能具有挑戰性,因為不同平台使用不同的驗證機制
此模式涵蓋如何在 Db2 上為 LUW 設定同盟伺服器,並將 Db2 for z/OS 設定為遠端資料庫。此模式會使用受信任的內容,將使用者的識別碼從 Db2 LUW 傳播至 Db2 z/OS,而不需在遠端資料庫上重新驗證。如需有關信任前後關聯的詳細資訊,請參閱其他資訊一節。
先決條件和限制
先決條件
有效的 AWS 帳戶
在 Amazon EC2 執行個體上執行的 Db2 執行個體
在內部部署執行的遠端 Db2 for z/OS 資料庫
架構
目標架構
![現場部署大型主機會透過現場部署 Db2 伺服器和 AWS Site-to-Site VPN 連接至 EC2 上的 Db2 資料庫。](images/pattern-img/9e04f0fe-bae2-412a-93ac-83da50222017/images/0a384695-7907-4fb8-bb7e-d170dcc114af.png)
工具
AWS 服務
亞馬遜彈性運算雲 (Amazon EC2) 在 AWS 雲端提供可擴展的運算容量。您可以視需要啟動任意數量的虛擬伺服器,,並快速進行擴展或縮減。
AWS Site-to-Site VPN 可協助您在 AWS 上啟動的執行個體和自己的遠端網路之間傳遞流量。
其他服務
db2cli
是 Db2 互動式指令列介面 (CLI) 命令。
史诗
任務 | 描述 | 所需技能 |
---|---|---|
在 DB2 LUW 資料庫上啟用聯合。 | 若要在 DB2 LUW 上啟用聯合,請執行下列命令。
| DBA |
重新啟動資料庫。 | 若要重新啟動資料庫,請執行下列命令。
| DBA |
任務 | 描述 | 所需技能 |
---|---|---|
編目遠端 Db2 z/OS 子系統。 | 若要在 AWS 上執行的 Db2 LUW 上編目遠端 Db2 z/OS 資料庫,請使用下列範例命令。
| DBA |
編目遠端資料庫。 | 若要編目遠端資料庫,請使用下列範例命令。
| DBA |
任務 | 描述 | 所需技能 |
---|---|---|
收集遠端 Db2 z/OS 資料庫的使用者認證。 | 繼續執行下列步驟之前,請先收集下列資訊:
| DBA |
建立 DRDA 包裝函式。 | 若要建立 DRDA 包裝函式,請執行下列命令。
| DBA |
建立伺服器定義。 | 若要建立伺服器定義,請執行下列範例命令。
在此定義中, | DBA |
任務 | 描述 | 所需技能 |
---|---|---|
建立代理主機使用者的使用者對應。 | 若要建立 Proxy 使用者的使用者對應,請執行下列命令。
| DBA |
在 Db2 LUW 上為每個使用者建立使用者對應。 | 為 AWS 上 Db2 LUW 資料庫上需要透過代理使用者存取遠端資料的所有使用者建立使用者對應。若要建立使用者對應,請執行下列命令。
此陳述式指定 Db2 LUW ( | DBA |
任務 | 描述 | 所需技能 |
---|---|---|
創建受信任的上下文對象。 | 若要在遠端 Db2 z/OS 資料庫上建立信任的內容物件,請使用下列範例命令。
在此定義中, | DBA |
相關資源
其他資訊
Db2 信任的上下文
信任內容是 Db2 資料庫物件,可定義聯合伺服器與遠端資料庫伺服器之間的信任關係。若要定義信任關係,信任內容會指定信任屬性。信任屬性有三種類型:
提出初始資料庫連線要求的系統授權 ID
建立連線的 IP 位址或網域名稱
資料庫伺服器與資料庫用戶端之間資料通訊的加密設定
當連線要求的所有屬性都符合在伺服器上定義之任何信任內容物件中指定的屬性時,便會建立信任連線。受信任連線有兩種類型:隱含和明確連線。建立隱含信任連線之後,使用者會繼承在該信任連線定義範圍之外無法使用的角色。建立明確的信任連線之後,使用者可以開啟相同的實體連線 (無論是否驗證)。此外,Db2 使用者可以獲得指定權限的角色,這些角色只能在受信任的連線中使用。此病毒碼使用明確的信任連線。
此模式中的信任上下文
在模式完成之後,Db2 LUW 上的 PERSON1 會使用同盟信任內容存取來自 Db2 z/OS 的遠端資料。如果連線來自信任內容定義中指定的 IP 位址或網域名稱,則 PERSON1 的連線會透過 Proxy 使用者建立。建立連線之後,PERSON1 的對應 Db2 z/OS 使用者識別碼會在不重新驗證的情況下進行切換,而使用者可以根據為該使用者設定的 Db2 權限存取資料或物件。
同盟信任內容的優點
這種方法通過消除使用共同的用戶 ID 或應用程序 ID 來維護最小權限的原則,該 ID 或應用程序 ID 需要所有用戶所需的所有權限的超集合。
在同盟資料庫和遠端資料庫上執行交易的使用者的真實身分永遠是已知且可以稽核的。
效能提升,因為實體連線會在使用者間重複使用,而不需要聯合伺服器重新驗證。