コンソール、CLI、RDS API を使用して、 DB インスタンスと Microsoft Active Directory との関係を管理できます。例えば、Kerberos 認証を有効化するために、Microsoft Active Directory を関連付けることができます。また、Microsoft Active Directory の関連付けを解除して、Kerberos 認証を無効化することもできます。さらに、1 つの Microsoft Active Directory によって外部に認証される DB インスタンスをもう 1 つの Microsoft Active Directory に移動することもできます。
例えば、CLI を使用して次を実行できます。
メンバーシップが失敗した Kerberos 認証を再度有効化するには、modify-db-instance CLI コマンドを使用します。
--domainオプションに現在のメンバーシップのディレクトリ ID を指定します。DB インスタンスの Kerberos 認証を無効にするには、modify-db-instance CLI コマンドを使用します。
noneオプションで、--domainを指定します。DB インスタンスをあるドメインから別のドメインに移動するには、modify-db-instance CLI コマンドを使用します。
--domainオプションの新しいドメインのドメイン識別子を指定します。
ドメインのメンバーシップを理解する
DB インスタンスを作成または変更すると、それがドメインのメンバーになります。DB インスタンスのドメインメンバーシップのステータスは、コンソールで表示したり、describe-db-instances CLI コマンドを実行して表示したりすることができます。DB インスタンスのステータスは、以下のいずれかです。
-
kerberos-enabled- DB インスタンスは Kerberos 認証を有効化しました。 -
enabling-kerberos- AWS は、この DB インスタンスで Kerberos 認証を有効化中です。 -
pending-enable-kerberos- この DB インスタンスでは、Kerberos 認証の有効化が保留中になっています。 -
pending-maintenance-enable-kerberos- AWS は、次にスケジュールされたメンテナンスウィンドウで、DB インスタンスでの Kerberos 認証の有効化を試みます。 -
pending-disable-kerberos- この DB インスタンスでは、Kerberos 認証の無効化が保留中になっています。 -
pending-maintenance-disable-kerberos- AWS は、次にスケジュールされたメンテナンスウィンドウで、DB インスタンスでの Kerberos 認証の無効化を試みます。 -
enable-kerberos-failed- 設定の問題により、AWS が DB インスタンスで Kerberos 認証を有効化できませんでした。DB インスタンスを変更するコマンドを再発行する前に、設定の問題を修正します。 -
disabling-kerberos- AWS は、この DB インスタンスで Kerberos 認証を無効化中です。
ネットワーク接続の問題や正しくない IAM ロールのために、Kerberos 認証を有効化するリクエストは失敗する可能性があります。場合によっては、DB インスタンスを作成または変更するときに、Kerberos 認証を有効にしようとすると失敗する可能性があります。その場合、正しい IAM ロールを使用していることを確認してから、DB インスタンスを変更し、ドメインに接続します。
注記
PostgreSQL で RDS を使用する Kerberos 認証でのみ、ドメインの DNS サーバーにトラフィックが送信されます。他のすべての DNS リクエストは、PostgreSQL を実行している DB インスタンスでアウトバウンドのネットワークアクセスとして扱われます。RDS for PostgreSQL を使用したアウトバウンドネットワークアクセスの詳細については、「アウトバウンドネットワークアクセスでカスタム DNS サーバーを使用する」を参照してください。
