在 Active Directory 域中管理 RDS for PostgreSQL 数据库实例
可以使用控制台、CLI 或 RDS API 来管理数据库实例及其与 Microsoft Active Directory 的关系。例如,您可以关联 Active Directory 以启用 Kerberos 身份验证。您也可以删除 Active Directory 关联以禁用 Kerberos 身份验证。您也可以将由一个 Microsoft Active Directory 在外部进行身份验证的数据库实例移动到另一个 Active Directory。
例如,使用 CLI,您可以执行下列操作:
要再次尝试为失败的成员启用 Kerberos 身份验证,请使用 modify-db-instance CLI 命令。为
--domain
选项指定当前成员的目录 ID。要在数据库实例上禁用 Kerberos 身份验证,请使用 modify-db-instance CLI 命令。为
none
选项指定--domain
。要将数据库实例从一个域移动到另一个域,请使用 modify-db-instance CLI 命令。为
--domain
选项指定新域的域标识符。
了解域成员资格
在创建或修改数据库实例后,其将成为域的成员。您可以在控制台中查看域成员身份状态,也可以通过运行 describe-db-instances CLI 命令来查看。数据库实例的状态可以是以下状态之一:
-
kerberos-enabled
– 数据库实例已启用 Kerberos 身份验证。 -
enabling-kerberos
– Amazon是在此数据库实例上启用 Kerberos 身份验证的过程。 -
pending-enable-kerberos
– 启用 Kerberos 身份验证正在此数据库实例上等待处理。 -
pending-maintenance-enable-kerberos
– Amazon将尝试在下一个计划的维护时段在数据库实例上启用 Kerberos 身份验证。 -
pending-disable-kerberos
– 禁用 Kerberos 身份验证正在此数据库实例上等待处理。 -
pending-maintenance-disable-kerberos
– Amazon 将尝试在下一个计划的维护时段在数据库实例上禁用 Kerberos 身份验证。 -
enable-kerberos-failed
– 出现一个配置问题,导致 Amazon 无法在数据库实例上启用 Kerberos 身份验证。在重新发出命令以修改数据库实例之前纠正配置问题。 -
disabling-kerberos
– Amazon是在此数据库实例上启用 Kerberos 身份验证的过程。
启用 Kerberos 身份验证的请求可能因网络连接问题或不正确的 IAM 角色而失败。在某些情况下,在创建或修改数据库实例时,尝试启用 Kerberos 身份验证可能会失败。如果是这样,请确保使用正确的 IAM 角色,然后修改数据库实例以加入域。
注意
仅针对 RDS for PostgreSQL 的 Kerberos 身份验证将流量发送到域的 DNS 服务器。在运行 PostgreSQL 的数据库实例上,所有其他 DNS 请求将被视为出站网络访问。有关使用 RDS for PostgreSQL 进行出站网络访问的更多信息,请参阅 将自定义 DNS 服务器用于出站网络访问。