在 Active Directory 域中管理 RDS for PostgreSQL 数据库实例 - Amazon Relational Database Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

在 Active Directory 域中管理 RDS for PostgreSQL 数据库实例

可以使用控制台、CLI 或 RDS API 来管理数据库实例及其与 Microsoft Active Directory 的关系。例如,您可以关联 Active Directory 以启用 Kerberos 身份验证。您也可以删除 Active Directory 关联以禁用 Kerberos 身份验证。您也可以将由一个 Microsoft Active Directory 在外部进行身份验证的数据库实例移动到另一个 Active Directory。

例如,使用 CLI,您可以执行下列操作:

  • 要再次尝试为失败的成员启用 Kerberos 身份验证,请使用 modify-db-instance CLI 命令。为 --domain 选项指定当前成员的目录 ID。

  • 要在数据库实例上禁用 Kerberos 身份验证,请使用 modify-db-instance CLI 命令。为 none 选项指定 --domain

  • 要将数据库实例从一个域移动到另一个域,请使用 modify-db-instance CLI 命令。为 --domain 选项指定新域的域标识符。

了解域成员资格

在创建或修改数据库实例后,其将成为域的成员。您可以在控制台中查看域成员身份状态,也可以通过运行 describe-db-instances CLI 命令来查看。数据库实例的状态可以是以下状态之一:

  • kerberos-enabled – 数据库实例已启用 Kerberos 身份验证。

  • enabling-kerberos – Amazon是在此数据库实例上启用 Kerberos 身份验证的过程。

  • pending-enable-kerberos – 启用 Kerberos 身份验证正在此数据库实例上等待处理。

  • pending-maintenance-enable-kerberos – Amazon将尝试在下一个计划的维护时段在数据库实例上启用 Kerberos 身份验证。

  • pending-disable-kerberos – 禁用 Kerberos 身份验证正在此数据库实例上等待处理。

  • pending-maintenance-disable-kerberos – Amazon 将尝试在下一个计划的维护时段在数据库实例上禁用 Kerberos 身份验证。

  • enable-kerberos-failed – 出现一个配置问题,导致 Amazon 无法在数据库实例上启用 Kerberos 身份验证。在重新发出命令以修改数据库实例之前纠正配置问题。

  • disabling-kerberos – Amazon是在此数据库实例上启用 Kerberos 身份验证的过程。

启用 Kerberos 身份验证的请求可能因网络连接问题或不正确的 IAM 角色而失败。在某些情况下,在创建或修改数据库实例时,尝试启用 Kerberos 身份验证可能会失败。如果是这样,请确保使用正确的 IAM 角色,然后修改数据库实例以加入域。

注意

仅针对 RDS for PostgreSQL 的 Kerberos 身份验证将流量发送到域的 DNS 服务器。在运行 PostgreSQL 的数据库实例上,所有其他 DNS 请求将被视为出站网络访问。有关使用 RDS for PostgreSQL 进行出站网络访问的更多信息,请参阅 将自定义 DNS 服务器用于出站网络访问