在域中管理数据库集群 - Amazon Aurora
了解域成员资格
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

在域中管理数据库集群

您可以使用 Amazon CLI 或 RDS API 来管理您的数据库集群及其与托管式 Active Directory 的关系。例如,您可以关联一个 Active Directory 以进行 Kerberos 身份验证,并取消关联一个 Active Directory 以关闭 Kerberos 身份验证。也可以将由一个 Active Directory 在外部进行身份验证的数据库集群移到另一个 Active Directory。

例如,使用 Amazon RDS API,您可以执行下列操作:

  • 要重新尝试为失败的成员资格开启 Kerberos 身份验证,请使用 ModifyDBInstance API 操作并指定当前成员的目录 ID。

  • 要为成员资格更新 IAM 角色名称,请使用 ModifyDBInstance API 操作并指定当前成员资格的目录 ID 和新的 IAM 角色。

  • 要在数据库集群上关闭 Kerberos 身份验证,请使用 ModifyDBInstance API 操作并指定 none 作为域参数。

  • 要将数据库集群从一个域移至另一个域,请使用 ModifyDBInstance API 操作并指定新域的域标识符作为域参数。

  • 要列出每个数据库集群的成员资格,请使用 DescribeDBInstances API 操作。

了解域成员资格

在创建或修改数据库集群后,此集群将成为域的成员。您可以通过运行 describe-db-clusters CLI 命令来查看数据库集群的域成员身份的状态。数据库集群的状态可以是以下状态之一:

  • kerberos-enabled – 数据库集群已开启 Kerberos 身份验证。

  • enabling-kerberos – Amazon 正在此数据库集群上开启 Kerberos 身份验证。

  • pending-enable-kerberos – 开启 Kerberos 身份验证的过程在此数据库集群上处于待处理状态。

  • pending-maintenance-enable-kerberos – Amazon 将尝试在下一个计划的维护时段在数据库集群上开启 Kerberos 身份验证。

  • pending-disable-kerberos – 关闭 Kerberos 身份验证的过程在此数据库集群上处于待处理状态。

  • pending-maintenance-disable-kerberos – Amazon 将尝试在下一个计划的维护时段在数据库集群上关闭 Kerberos 身份验证。

  • enable-kerberos-failed – 出现一个配置问题,导致 Amazon 无法在数据库集群上开启 Kerberos 身份验证。在重新发出数据库集群修改命令之前检查并修复配置。

  • disabling-kerberos – Amazon 正在此数据库集群上关闭 Kerberos 身份验证。

开启 Kerberos 身份验证的请求可能因网络连接问题或 IAM 角色不正确而失败。例如,假设您创建数据库集群或修改现有数据库集群,但开启 Kerberos 身份验证的尝试失败。在这种情况下,请重新发出修改命令或修改新创建的数据库集群以加入域。