# 在域中管理数据库集群
<a name="aurora-mysql-kerberos-managing"></a>

您可以使用 Amazon CLI 或 RDS API 来管理您的数据库集群及其与托管式 Active Directory 的关系。例如，您可以关联一个 Active Directory 以进行 Kerberos 身份验证，并取消关联一个 Active Directory 以关闭 Kerberos 身份验证。也可以将由一个 Active Directory 在外部进行身份验证的数据库集群移到另一个 Active Directory。

例如，使用 Amazon RDS API，您可以执行下列操作：
+ 要重新尝试为失败的成员资格开启 Kerberos 身份验证，请使用 `ModifyDBInstance` API 操作并指定当前成员的目录 ID。
+ 要为成员资格更新 IAM 角色名称，请使用 `ModifyDBInstance` API 操作并指定当前成员资格的目录 ID 和新的 IAM 角色。
+ 要在数据库集群上关闭 Kerberos 身份验证，请使用 `ModifyDBInstance` API 操作并指定 `none` 作为域参数。
+ 要将数据库集群从一个域移至另一个域，请使用 `ModifyDBInstance` API 操作并指定新域的域标识符作为域参数。
+ 要列出每个数据库集群的成员资格，请使用 `DescribeDBInstances` API 操作。

## 了解域成员资格
<a name="aurora-mysql-kerberos-managing.understanding"></a>

在创建或修改数据库集群后，此集群将成为域的成员。您可以通过运行 [describe-db-clusters](https://docs.amazonaws.cn/cli/latest/reference/rds/describe-db-clusters.html) CLI 命令来查看数据库集群的域成员身份的状态。数据库集群的状态可以是以下状态之一：
+ `kerberos-enabled` – 数据库集群已开启 Kerberos 身份验证。
+  `enabling-kerberos` – Amazon 正在此数据库集群上开启 Kerberos 身份验证。
+ `pending-enable-kerberos` – 开启 Kerberos 身份验证的过程在此数据库集群上处于待处理状态。
+ `pending-maintenance-enable-kerberos` – Amazon 将尝试在下一个计划的维护时段在数据库集群上开启 Kerberos 身份验证。
+ `pending-disable-kerberos` – 关闭 Kerberos 身份验证的过程在此数据库集群上处于待处理状态。
+ `pending-maintenance-disable-kerberos` – Amazon 将尝试在下一个计划的维护时段在数据库集群上关闭 Kerberos 身份验证。
+ `enable-kerberos-failed` – 出现一个配置问题，导致 Amazon 无法在数据库集群上开启 Kerberos 身份验证。在重新发出数据库集群修改命令之前检查并修复配置。
+ `disabling-kerberos` – Amazon 正在此数据库集群上关闭 Kerberos 身份验证。

开启 Kerberos 身份验证的请求可能因网络连接问题或 IAM 角色不正确而失败。例如，假设您创建数据库集群或修改现有数据库集群，但开启 Kerberos 身份验证的尝试失败。在这种情况下，请重新发出修改命令或修改新创建的数据库集群以加入域。