É possível usar o console, a CLI ou a API do RDS para gerenciar a instância de banco de dados e suas relações com o Microsoft Active Directory. Por exemplo, é possível associar um Microsoft Active Directory para habilitar a autenticação Kerberos. Também é possível remover a associação de um Microsoft Active Directory para desabilitar a autenticação Kerberos. Também é possível mover uma instância de banco de dados para a autenticação externa por um Microsoft Active Directory para outro.
Por exemplo, usando a CLI, é possível fazer o seguinte:
Para tentar habilitar a autenticação Kerberos novamente para uma assinatura com falha, use o comando da CLI modify-db-instance . Especifique o ID do diretório da associação atual para a opção
--domain.Para desabilitar a autenticação Kerberos em uma instância de banco de dados, use o comando da CLI modify-db-instance . Especifique
nonepara a opção--domain.Para mover uma instância de banco de dados de um domínio para outro, use o comando da CLI modify-db-instance. Especifique o identificador de domínio do novo domínio para a opção
--domain.
Compreensão da associação de domínio
Depois de criar ou modificar sua instância de banco de dados, ele se torna membro do domínio. É possível visualizar o status da associação do domínio no console ou executando o comando da CLI describe-db-instances. O status da instância de banco de dados pode ser um dos seguintes:
-
kerberos-enabled– a instância de banco de dados que tem a autenticação Kerberos habilitada. -
enabling-kerberos: a AWS está no processo de habilitar a autenticação Kerberos nessa instância de bancos de dados. -
pending-enable-kerberos– a habilitação da autenticação Kerberos está pendente nessa instância de banco de dados. -
pending-maintenance-enable-kerberos: a AWS tentará habilitar a autenticação Kerberos na instância de bancos de dados durante a próxima janela de manutenção programada. -
pending-disable-kerberos– a desabilitação da autenticação Kerberos está pendente nessa instância de banco de dados. -
pending-maintenance-disable-kerberos: a AWS tentará desabilitar a autenticação Kerberos na instância de banco de dados durante a próxima janela de manutenção programada. -
enable-kerberos-failed: um problema de configuração impediu que a AWS habilitasse a autenticação Kerberos na instância de banco de dados. Corrija o problema de configuração antes de emitir o comando novamente para modificar a instância de banco de dados. -
disabling-kerberos: a AWS está no processo de desabilitar a autenticação Kerberos nessa instância de bancos de dados.
Uma solicitação para habilitar a autenticação Kerberos pode falhar por conta de um novo problema de conectividade de rede ou de um perfil do IAM incorreto. Em alguns casos, poderá haver falha na tentativa de habilitar a autenticação Kerberos quando você criar ou modificar uma instância de banco de dados. Nesse caso, verifique se você está usando o perfil do IAM correto e modifique a instância de banco de dados para ingressar no domínio.
nota
Somente a autenticação Kerberos com o RDS para PostgreSQL envia tráfego para os servidores DNS do domínio. Todas as outras solicitações de DNS são tratadas como acesso à rede de saída nas instâncias de banco de dados que executam o PostgreSQL. Para obter mais informações sobre o acesso à rede de saída com o RDS para PostgreSQL, consulte Usar um servidor DNS personalizado para acesso à rede de saída.
