Gestion d'une instance de base de données dans un domaine - Amazon Relational Database Service

Gestion d'une instance de base de données dans un domaine

Vous pouvez utiliser la console, l'interface de ligne de commande ou l'API RDS pour gérer votre instance de base de données et sa relation avec votre annuaire Microsoft Active Directory. Par exemple, vous pouvez associer un annuaire Active Directory de façon à activer l'authentification Kerberos. Vous pouvez également supprimer l'association d'un annuaire Active Directory pour désactiver l'authentification Kerberos. Vous pouvez également transférer une instance de base de données vers un autre élément de même type afin de subir une authentification en externe par un annuaire Microsoft Active Directory.

Par exemple, l'interface de ligne de commande vous permet d'effectuer les actions suivantes :

  • Pour retenter l'activation de l'authentification Kerberos en cas d'échec d'appartenance, utilisez la commande d'interface de ligne de commande modify-db-instance . Spécifiez l'ID d'annuaire du membre actuel pour l'option --domain.

  • Pour désactiver l'authentification Kerberos sur une instance de base de données, utilisez la commande d'interface de ligne de commande modify-db-instance . Spécifiez none pour l'option --domain.

  • Pour transférer une instance de base de données d'un domaine vers un autre, utilisez la commande d'interface de ligne de commande modify-db-instance . Spécifiez l'identifiant du nouveau domaine pour l'option --domain.

Présentation de l'appartenance au domaine

Une fois que vous avez créé ou modifié votre instance de base de données, elle devient membre du domaine. Vous pouvez consulter le statut de l'appartenance au domaine pour l'instance de base de données dans la console ou en exécutant la commande d'interface de ligne de commande describe-db-instances. Le statut de l'instance de base de données peut avoir les valeurs suivantes :

  • kerberos-enabled – L'instance de base de données a l'authentification Kerberos activée.

  • enabling-kerberos – AWS est en train d'activer l'authentification Kerberos sur cette instance de base de données.

  • pending-enable-kerberos – L'activation de l'authentification Kerberos est en attente sur cette instance de base de données.

  • pending-maintenance-enable-kerberos – AWS tentera d'activer l'authentification Kerberos sur cette instance de base de données lors de la prochaine fenêtre de maintenance planifiée.

  • pending-disable-kerberos – La désactivation de l'authentification Kerberos est en attente sur cette instance de base de données.

  • pending-maintenance-disable-kerberos – AWS tentera de désactiver l'authentification Kerberos sur cette instance de base de données lors de la prochaine fenêtre de maintenance planifiée.

  • enable-kerberos-failed – Un problème de configuration a empêché AWS d'activer l'authentification Kerberos sur l'instance de base de données. Corrigez le problème de configuration avant de réémettre la commande de modification de l'instance de base de données.

  • disabling-kerberos – AWS est en train de désactiver l'authentification Kerberos sur cette instance de base de données.

Une demande d'activation de l'authentification Kerberos peut échouer à cause d'un problème de connectivité réseau ou d'un rôle IAM incorrect. Dans certains cas, la tentative d'activation de l'authentification Kerberos peut échouer lorsque vous créez ou modifiez une instance de base de données. Si tel est le cas, vérifiez que vous utilisez le rôle IAM correct, puis modifiez l'instance de base de données afin d'effectuer son rattachement au domaine.

Note

Seule l'authentification Kerberos avec RDS for PostgreSQL envoie le trafic aux serveurs DNS du domaine. Toutes les autres demandes DNS sont traitées comme un accès réseau sortant sur vos instances de bases de données exécutant PostgreSQL. Pour de plus amples informations sur l'accès réseau sortant avec RDS for PostgreSQL, veuillez consulter Utilisation d'un serveur DNS personnalisé pour l'accès réseau sortant.