Active Directory ドメインの RDS for PostgreSQL DB インスタンスの管理
コンソール、CLI、RDS API を使用して、 DB インスタンスと Microsoft Active Directory との関係を管理できます。例えば、Kerberos 認証を有効化するために、Microsoft Active Directory を関連付けることができます。また、Microsoft Active Directory の関連付けを解除して、Kerberos 認証を無効化することもできます。さらに、1 つの Microsoft Active Directory によって外部に認証される DB インスタンスをもう 1 つの Microsoft Active Directory に移動することもできます。
例えば、CLI を使用して次を実行できます。
メンバーシップが失敗した Kerberos 認証を再度有効化するには、modify-db-instance CLI コマンドを使用します。
--domainオプションに現在のメンバーシップのディレクトリ ID を指定します。DB インスタンスの Kerberos 認証を無効にするには、modify-db-instance CLI コマンドを使用します。
noneオプションで、--domainを指定します。DB インスタンスをあるドメインから別のドメインに移動するには、modify-db-instance CLI コマンドを使用します。
--domainオプションの新しいドメインのドメイン識別子を指定します。
ドメインのメンバーシップを理解する
DB インスタンスを作成または変更すると、それがドメインのメンバーになります。DB インスタンスのドメインメンバーシップのステータスは、コンソールで表示したり、describe-db-instances CLI コマンドを実行して表示したりすることができます。DB インスタンスのステータスは、以下のいずれかです。
-
kerberos-enabled- DB インスタンスは Kerberos 認証を有効化しました。 -
enabling-kerberos- AWS は、この DB インスタンスで Kerberos 認証を有効化中です。 -
pending-enable-kerberos- この DB インスタンスでは、Kerberos 認証の有効化が保留中になっています。 -
pending-maintenance-enable-kerberos- AWS は、次にスケジュールされたメンテナンスウィンドウで、DB インスタンスでの Kerberos 認証の有効化を試みます。 -
pending-disable-kerberos- この DB インスタンスでは、Kerberos 認証の無効化が保留中になっています。 -
pending-maintenance-disable-kerberos- AWS は、次にスケジュールされたメンテナンスウィンドウで、DB インスタンスでの Kerberos 認証の無効化を試みます。 -
enable-kerberos-failed- 設定の問題により、AWS が DB インスタンスで Kerberos 認証を有効化できませんでした。DB インスタンスを変更するコマンドを再発行する前に、設定の問題を修正します。 -
disabling-kerberos- AWS は、この DB インスタンスで Kerberos 認証を無効化中です。
ネットワーク接続の問題や正しくない IAM ロールのために、Kerberos 認証を有効化するリクエストは失敗する可能性があります。場合によっては、DB インスタンスを作成または変更するときに、Kerberos 認証を有効にしようとすると失敗する可能性があります。その場合、正しい IAM ロールを使用していることを確認してから、DB インスタンスを変更し、ドメインに接続します。
注記
PostgreSQL で RDS を使用する Kerberos 認証でのみ、ドメインの DNS サーバーにトラフィックが送信されます。他のすべての DNS リクエストは、PostgreSQL を実行している DB インスタンスでアウトバウンドのネットワークアクセスとして扱われます。RDS for PostgreSQL を使用したアウトバウンドネットワークアクセスの詳細については、「アウトバウンドネットワークアクセスでカスタム DNS サーバーを使用する」を参照してください。
