Suscripción al dominio Rotación forzada de claves de Kerberos

Administración de una instancia de base de datos en un dominio

Puede usar la consola, la CLI o la API de RDS para administrar su instancia de base de datos y su relación con su Microsoft Active Directory. Puede, por ejemplo, asociar un Microsoft Active Directory para habilitar la autenticación Kerberos. También puede disociar un Microsoft Active Directory para deshabilitar la autenticación Kerberos. También puede mover una instancia de base de datos para que sea autenticada externamente por un Microsoft Active Directory a otro.

Por ejemplo, con la CLI, puede hacer lo siguiente:

Volver a intentar habilitar la autenticación Kerberos para una pertenencia fallida, use el comando de CLI modify-db-instance y especifique el ID de directorio de pertenencia actual para la opción --domain.
Deshabilitar la autenticación Kerberos en una instancia de base de datos, utilice el comando de CLI modify-db-instance y especifique none para la opción --domain.
Mover una instancia de base de datos de un dominio a otro, use el comando de CLI modify-db-instance y especifique el identificador de dominio del nuevo dominio para la opción --domain.

Visualización del estado de la suscripción al dominio

Una vez que haya creado o modificado una instancia de base de datos, esta se convierte en miembro del dominio. Puede ver el estado de la pertenencia del dominio para la instancia de base de datos en la consola o ejecutando el comando de CLI describe-db-instances. El estado de la instancia de base de datos puede ser uno de los siguientes:

kerberos-enabled: la instancia de base de datos tiene habilitada la autenticación Kerberos.
enabling-kerberos - AWS está en proceso de habilitar la autenticación Kerberos en esta instancia de base de datos.
pending-enable-kerberos: la habilitación de la autenticación Kerberos está pendiente en esta instancia de base de datos.
pending-maintenance-enable-kerberos - AWS intentará habilitar la autenticación Kerberos en la instancia de base de datos durante el próximo periodo de mantenimiento programado.
pending-disable-kerberos: la deshabilitación de la autenticación Kerberos está pendiente en esta instancia de base de datos.
pending-maintenance-disable-kerberos - AWS intentará desactivar la autenticación Kerberos en la instancia de base de datos durante el próximo periodo de mantenimiento programado.
enable-kerberos-failed: un problema de configuración ha impedido que AWS habilite la autenticación Kerberos en la instancia de base de datos. Corrija el problema de configuración antes de volver a ejecutar el comando para modificar la instancia de base de datos.
disabling-kerberos - AWS está en proceso de desactivar la autenticación Kerberos en esta instancia de base de datos.

Una solicitud para habilitar la autenticación Kerberos puede generar un error a causa de un problema de conectividad de la red o de un rol de IAM incorrecto. Si el intento de habilitar la autenticación Kerberos falla al crear o modificar una instancia de base de datos, debe asegurarse de que está utilizando el rol de IAM correcto. A continuación, modifique la instancia de base de datos para unirse al dominio.

nota

Solo la autenticación Kerberos con Amazon RDS for Oracle envía tráfico a los servidores DNS del dominio. Las otras solicitudes de DNS se tratan como acceso de red saliente en las instancias de bases de datos que ejecutan Oracle. Para obtener más información acerca del acceso de red saliente con Amazon RDS para Oracle, consulte Configuración de un servidor DNS personalizado.

Rotación forzada de claves de Kerberos

Una clave secreta se comparte entre AWS Managed Microsoft AD y una instancia de base de datos de Amazon RDS for Oracle. Esta clave se rota automáticamente cada 45 días. Puede utilizar el siguiente procedimiento de Amazon RDS para forzar la rotación de esta clave.


SELECT rdsadmin.rdsadmin_kerberos_auth_tasks.rotate_kerberos_keytab AS TASK_ID FROM DUAL;

nota

En una configuración de réplica de lectura, este procedimiento solo está disponible en la instancia de base de datos de origen y no en la réplica de lectura.

La instrucción SELECT devuelve el identificador de la tarea en un tipo de datos VARCHAR2. Puede ver el estado de una tarea continua en un archivo bdump. Los archivos bdump están ubicados en el directorio /rdsdbdata/log/trace. El nombre del archivo bdump está en el siguiente formato.


dbtask-task-id.log

Para ver el resultado, visualice el archivo de salida de la tarea.


SELECT text FROM table(rdsadmin.rds_file_util.read_text_file('BDUMP','dbtask-task-id.log'));

Reemplace task-id con el ID de tarea devuelto por el procedimiento.

nota

Las tareas se ejecutan de forma asíncrona.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración

Conexión con autenticación Kerberos