Amazon Relational Database Service
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

在域中管理数据库实例

您可以使用控制台、CLI 或 RDS API 来管理您的数据库实例及其与 Microsoft Active Directory 的关系。例如,您可以关联 Microsoft Active Directory 以启用 Kerberos 身份验证。您也可以删除 Microsoft Active Directory 关联以禁用 Kerberos 身份验证。您也可以将由一个 Microsoft Active Directory 在外部进行身份验证的数据库实例移动到另一个 Active Directory。

例如,使用 CLI,您可以执行下列操作:

  • 要再次尝试为失败的成员启用 Kerberos 身份验证,请使用 modify-db-instance CLI 命令。为 --domain 选项指定当前成员的目录 ID。

  • 要在数据库实例上禁用 Kerberos 身份验证,请使用 modify-db-instance CLI 命令。为 --domain 选项指定 none

  • 要将数据库实例从一个域移动到另一个域,请使用 modify-db-instance CLI 命令。为 --domain 选项指定新域的域标识符。

了解域成员资格

在创建或修改数据库实例后,数据库实例将成为域的成员。您可以在控制台中查看数据库实例的域成员身份状态,也可以通过运行 describe-db-instances CLI 命令来查看。数据库实例的状态可以是以下状态之一:

  • kerberos-enabled – 数据库实例已启用 Kerberos 身份验证。

  • enabling-kerberos – AWS 正在此数据库实例上启用 Kerberos 身份验证。

  • pending-enable-kerberos – 启用 Kerberos 身份验证正在此数据库实例上等待处理。

  • pending-maintenance-enable-kerberos – AWS 将尝试在下一个计划的维护时段在数据库实例上启用 Kerberos 身份验证。

  • pending-disable-kerberos – 禁用 Kerberos 身份验证正在此数据库实例上等待处理。

  • pending-maintenance-disable-kerberos – AWS 将尝试在下一个计划的维护时段在数据库实例上禁用 Kerberos 身份验证。

  • enable-kerberos-failed – 配置问题导致 AWS 无法在数据库实例上启用 Kerberos 身份验证。在重新发出命令以修改数据库实例之前纠正配置问题。

  • disabling-kerberos – AWS 正在此数据库实例上禁用 Kerberos 身份验证。

启用 Kerberos 身份验证的请求可能因网络连接问题或不正确的 IAM 角色而失败。在某些情况下,在创建或修改数据库实例时,尝试启用 Kerberos 身份验证可能会失败。如果是这样,请确保使用正确的 IAM 角色,然后修改数据库实例以加入域。

注意

仅针对 RDS for PostgreSQL 的 Kerberos 身份验证将流量发送到域的 DNS 服务器。在运行 PostgreSQL 的数据库实例上,所有其他 DNS 请求将被视为出站网络访问。有关 Amazon RDS for PostgreSQL 的出站网络访问的更多信息,请参阅将自定义 DNS 服务器用于出站网络访问

本页内容: