Verwalten einer DB-Instance von RDS für PostgreSQLActive in einer Active Directory-Domain - Amazon Relational Database Service
Grundlegendes zur Domänenmitgliedschaft

Verwalten einer DB-Instance von RDS für PostgreSQLActive in einer Active Directory-Domain

Sie können die Konsole, die CLI oder die RDS-API verwenden, um Ihre DB-Instance und ihre Beziehung zu Ihrem Microsoft Active Directory zu verwalten. Sie können z. B. ein Active Directory zuordnen, um die Kerberos-Authentifizierung zu aktivieren. Sie können auch die Zuordnung für ein Active Directory entfernen, um die Kerberos-Authentifizierung zu deaktivieren. Sie können auch DB-Instances verschieben, die von einem Microsoft Active Directory zu einem anderen extern authentifiziert werden.

Sie können z. B. mithilfe der CLI Folgendes tun:

  • Um die Aktivierung der Kerberos-Authentifizierung für eine fehlgeschlagene Mitgliedschaft erneut zu versuchen, verwenden Sie den CLI-Befehl modify-db-instance. Geben Sie die Verzeichnis-ID der aktuellen Mitgliedschaft für die Option --domain an.

  • Um die Kerberos-Authentifizierung für eine DB-Instance zu deaktivieren, verwenden Sie den CLI-Befehl modify-db-instance. Geben Sie none für die Option --domain an.

  • Um eine DB-Instance von einer Domäne in eine andere zu verschieben, verwenden Sie den CLI-Befehl modify-db-instance. Geben Sie die Domänen-ID der neuen Domäne für die Option --domain an.

Grundlegendes zur Domänenmitgliedschaft

Nachdem Sie Ihre DB-Instance erstellt oder geändert haben, wird er zu einem Mitglied der Domäne. Sie können den Status der Domänenmitgliedschaft in der Konsole anzeigen oder den CLI-Befehl describe-db-instances ausführen. Der Status der DB-Instance kann einer der folgenden sein:

  • kerberos-enabled – Für die DB-Instance ist die Kerberos-Authentifizierung aktiviert.

  • enabling-kerberos – AWS ist dabei, die Kerberos-Authentifizierung auf dieser DB-Instance zu aktivieren.

  • pending-enable-kerberos – Das Aktivieren der Kerberos-Authentifizierung ist für diese DB-Instance ausstehend.

  • pending-maintenance-enable-kerberos – AWS versucht, die Kerberos-Authentifizierung auf der DB-Instance während des nächsten geplanten Wartungsfensters zu aktivieren.

  • pending-disable-kerberos – Das Deaktivieren der Kerberos-Authentifizierung ist für diese DB-Instance ausstehend.

  • pending-maintenance-disable-kerberos – AWS versucht, die Kerberos-Authentifizierung auf der DB-Instance während des nächsten geplanten Wartungsfensters zu deaktivieren.

  • enable-kerberos-failed – Ein Konfigurationsproblem verhinderte, dass AWS die Kerberos-Authentifizierung auf der DB-Instance aktivierte. Beheben Sie das Konfigurationsproblem, bevor Sie den Befehl zum Ändern der DB-Instance erneut ausgeben.

  • disabling-kerberos – AWS ist dabei, die Kerberos-Authentifizierung auf dieser DB-Instance zu deaktivieren.

Eine Anfrage zur Aktivierung der Kerberos-Authentifizierung kann wegen eines Netzwerkverbindungsproblems oder einer falschen IAM-Rolle fehlschlagen. In einigen Fällen kann der Versuch, die Kerberos-Authentifizierung zu aktivieren, fehlschlagen, wenn Sie eine DB-Instance erstellen oder ändern. Wenn dies passiert, stellen Sie sicher, dass Sie die richtige IAM-Rolle verwenden, und ändern Sie dann die DB-Instance, um der Domäne beizutreten.

Anmerkung

Nur die Kerberos-Authentifizierung mit RDS für PostgreSQL sendet Datenverkehr zu den DNS-Servern der Domäne. Alle anderen DNS-Anfragen werden als ausgehender Netzwerkzugriff auf Ihre DB-Instances mit PostgreSQL behandelt. Weitere Hinweise zum ausgehenden Netzwerkzugriff mit RDS für PostgreSQL finden Sie unter Verwenden eines benutzerdefinierten DNS-Servers für ausgehenden Netzwerkzugriff..