Gerenciamento de uma instância de banco de dados em um domínio - Amazon Relational Database Service
Associação de domínioChaves Kerberos de alternância forçada

Gerenciamento de uma instância de banco de dados em um domínio

É possível usar o console, a CLI ou a API do RDS para gerenciar a instância de banco de dados e suas relações com o Microsoft Active Directory. Por exemplo, é possível associar um Microsoft Active Directory para permitir a autenticação Kerberos. Também é possível desassociar um Microsoft Active Directory para desabilitar a autenticação Kerberos. Também é possível mover uma instância de banco de dados para ser autenticada externamente por um Microsoft Active Directory para outra.

Por exemplo, usando a CLI, é possível fazer o seguinte:

  • Para tentar habilitar a autenticação Kerberos novamente para uma assinatura com falha, use o comando modify-db-instance da CLI e especifique o ID do diretório atual da assinatura para a opção --domain.

  • Para desabilitar a autenticação Kerberos em uma instância de banco de dados, use o comando modify-db-instance da CLI e especifique none para a opção --domain.

  • Para mover uma instância de banco de dados de um domínio para outro, use o comando modify-db-instance da CLI e especifique o identificador de domínio do novo domínio para a opção --domain.

Visualizar o status da associação ao domínio

Após criar ou modificar a instância de banco de dados, ela se tornará um membro do domínio. É possível visualizar o status da assinatura do domínio para a instância de banco de dados no console ou executando o comando describe-db-instances da CLI. O status da instância de banco de dados pode ser um dos seguintes:

  • kerberos-enabled – a instância de banco de dados que tem a autenticação Kerberos habilitada.

  • enabling-kerberos: a AWS está no processo de habilitar a autenticação Kerberos nessa instância de bancos de dados.

  • pending-enable-kerberos – a habilitação da autenticação Kerberos está pendente nessa instância de banco de dados.

  • pending-maintenance-enable-kerberos: a AWS tentará habilitar a autenticação Kerberos na instância de bancos de dados durante a próxima janela de manutenção programada.

  • pending-disable-kerberos – a desabilitação da autenticação Kerberos está pendente nessa instância de banco de dados.

  • pending-maintenance-disable-kerberos: a AWS tentará desabilitar a autenticação Kerberos na instância de banco de dados durante a próxima janela de manutenção programada.

  • enable-kerberos-failed: um problema de configuração impediu que a AWS habilitasse a autenticação Kerberos na instância de banco de dados. Corrija o problema de configuração antes de emitir o comando novamente para modificar a instância de banco de dados.

  • disabling-kerberos: a AWS está no processo de desabilitar a autenticação Kerberos nessa instância de bancos de dados.

Uma solicitação para habilitar a autenticação Kerberos pode falhar por conta de um novo problema de conectividade de rede ou de uma função do IAM incorreta. Se a tentativa de habilitar a autenticação Kerberos falhar ao criar ou modificar uma instância de banco de dados, verifique se você está usando a função do IAM correta. Depois, modifique a instância de banco de dados para ingressar no domínio.

nota

Somente a autenticação Kerberos com o Amazon RDS para Oracle envia tráfego para os servidores DNS do domínio. Todas as outras solicitações de DNS são tratadas como acesso à rede de saída nas instâncias de bancos de dados que executam o Oracle. Para obter mais informações sobre o acesso à rede de saída com o Amazon RDS para Oracle, consulte Configuração de um servidor DNS personalizado.

Chaves Kerberos de alternância forçada

Uma chave secreta é compartilhada entre AWS Managed Microsoft AD e o Amazon RDS para Oracle para a instância de banco de dados Oracle. Essa chave é alternada automaticamente a cada 45 dias. É possível usar o procedimento do Amazon RDS a seguir para forçar a rotação dessa chave.

SELECT rdsadmin.rdsadmin_kerberos_auth_tasks.rotate_kerberos_keytab AS TASK_ID FROM DUAL;
nota

Em uma configuração de réplica de leitura, esse procedimento está disponível apenas na instância de banco de dados de origem e não na réplica de leitura.

A instrução SELECT retorna o ID da tarefa em um tipo de dados VARCHAR2. Você pode visualizar o status de uma tarefa em andamento em um arquivo bdump. Os arquivos bdump estão localizados no diretório /rdsdbdata/log/trace. Cada nome de arquivo bdump está no seguinte formato.

dbtask-task-id.log

Você pode visualizar o resultado exibindo o arquivo de saída da tarefa.

SELECT text FROM table(rdsadmin.rds_file_util.read_text_file('BDUMP','dbtask-task-id.log'));

Substitua task-id pelo ID da tarefa retornado pelo procedimento.

nota

As tarefas são executadas de forma assíncrona.