Gestion d'une instance de base de données dans un domaine - Amazon Relational Database Service
Adhésion au domaineClés Kerberos à rotation forcée

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion d'une instance de base de données dans un domaine

Vous pouvez utiliser la console, la CLI ou l'API RDS pour gérer votre instance de base de données et sa relation avec votre Microsoft Active Directory. Par exemple, vous pouvez associer un Microsoft Active Directory de façon à activer l'authentification Kerberos. Vous pouvez également annuler l'association d'un Microsoft Active Directory pour désactiver l'authentification Kerberos. Vous pouvez également transférer une instance de base de données vers une autre afin qu'elle soit authentifiée en externe par un Microsoft Active Directory.

Par exemple, la CLI vous permet d'effectuer les actions suivantes :

  • Pour retenter l'activation de l'authentification Kerberos en cas d'échec d'appartenance, utilisez la commande de CLI modify-db-instance et spécifiez l'ID d'annuaire d'appartenance actuelle pour l'option --domain.

  • Pour désactiver l'authentification Kerberos sur une instance de base de données, utilisez la commande de CLI modify-db-instance et spécifiez none pour l'option --domain.

  • Pour transférer une instance de base de données d'un domaine vers un autre, utilisez la commande de CLI modify-db-instance et spécifiez l'identifiant du nouveau domaine pour l'option --domain.

Affichage du statut de l'appartenance au domaine

Après la création ou la modification de votre instance de base de données, cette dernière devient un membre du domaine. Vous pouvez consulter le statut de l'appartenance au domaine pour l'instance de base de données dans la console ou en exécutant la commande de CLI describe-db-instances. Le statut de l'instance de base de données peut avoir les valeurs suivantes :

  • kerberos-enabled – L'instance de base de données a l'authentification Kerberos activée.

  • enabling-kerberos – AWS est le processus d'activation de l'authentification Kerberos sur cette instance de base de données.

  • pending-enable-kerberos – L'activation de l'authentification Kerberos est en attente sur cette instance de base de données.

  • pending-maintenance-enable-kerberos – AWS tentera d'activer l'authentification Kerberos sur cette instance de base de données lors de la prochaine fenêtre de maintenance planifiée.

  • pending-disable-kerberos – La désactivation de l'authentification Kerberos est en attente sur cette instance de base de données.

  • pending-maintenance-disable-kerberos – AWS tentera de désactiver l'authentification Kerberos sur cette instance de base de données lors de la prochaine fenêtre de maintenance planifiée.

  • enable-kerberos-failed – Un problème de configuration a empêché AWS d'activer l'authentification Kerberos sur l'instance de base de données. Corrigez le problème de configuration avant de réémettre la commande de modification de l'instance de base de données.

  • disabling-kerberos – AWS est en train de désactiver l'authentification Kerberos sur cette instance de base de données.

Une demande d'activation de l'authentification Kerberos peut échouer à cause d'un problème de connectivité réseau ou d'un rôle IAM incorrect. Si la tentative d'activation de l'authentification Kerberos échoue lorsque vous créez ou modifiez une instance de base de données, vérifiez d'abord que vous utilisez le rôle IAM correct. Ensuite, modifiez l'instance de base de données pour rejoindre le domaine.

Note

Seule l'authentification Kerberos avec Amazon RDS for Oracle envoie le trafic aux serveurs DNS du domaine. Toutes les autres demandes DNS sont traitées comme un accès réseau sortant sur vos instances de bases de données exécutant Oracle. Pour de plus amples informations sur l'accès réseau sortant avec Amazon RDS for Oracle, veuillez consulter Configuration d'un serveur DNS personnalisé.

Clés Kerberos à rotation forcée

Une clé secrète est partagée entre AWS Managed Microsoft AD et une instance de base de données Amazon RDS for Oracle. Cette clé subit une rotation automatique tous les 45 jours. Vous pouvez utiliser la procédure Amazon RDS suivante pour forcer la rotation de cette clé.

SELECT rdsadmin.rdsadmin_kerberos_auth_tasks.rotate_kerberos_keytab AS TASK_ID FROM DUAL;
Note

Dans une configuration de réplica en lecture, cette procédure est uniquement disponible sur l'instance de base de données source et non sur le réplica en lecture.

L'instruction SELECT renvoie l'ID de la tâche dans un type de données VARCHAR2. Vous pouvez consulter le statut d'une tâche en cours dans un fichier bdump. Les fichiers bdump se trouvent dans le répertoire /rdsdbdata/log/trace. Chaque nom de fichier bdump a le format suivant.

dbtask-task-id.log

Vous pouvez afficher le résultat en affichant le fichier de sortie de la tâche.

SELECT text FROM table(rdsadmin.rds_file_util.read_text_file('BDUMP','dbtask-task-id.log'));

Remplacez task-id par l'ID de tâche renvoyé par la procédure.

Note

Les tâches sont exécutées de manière asynchrone.