Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion d'une instance de base de données dans un domaine
Vous pouvez utiliser la console, la CLI ou l'API RDS pour gérer votre instance de base de données et sa relation avec votre répertoire Microsoft Active Directory. Par exemple, vous pouvez associer un annuaire Active Directory de façon à activer l'authentification Kerberos. Vous pouvez également supprimer l'association d'un annuaire Active Directory pour désactiver l'authentification Kerberos. Vous pouvez également transférer une instance de base de données vers un autre élément de même type afin de subir une authentification en externe par un annuaire Microsoft Active Directory.
Par exemple, la CLI vous permet d'effectuer les actions suivantes :
Pour retenter l'activation de l'authentification Kerberos en cas d'échec d'appartenance, utilisez la commande de CLI modify-db-instance. Spécifiez l'ID d'annuaire du membre actuel pour l'option
--domain.Pour désactiver l'authentification Kerberos sur une instance de base de données, utilisez la commande de CLI modify-db-instance. Spécifiez
nonepour l'option--domain.Pour transférer une instance de base de données d'un domaine vers un autre, utilisez la commande de CLI modify-db-instance. Spécifiez l'identifiant du nouveau domaine pour l'option
--domain.
Présentation de l'appartenance au domaine
Une fois que vous avez créé ou modifié votre instance de base de données, il devient membre du domaine. Vous pouvez consulter le statut de l'appartenance au domaine pour l'instance de base de données dans la console ou en exécutant la commande de CLI describe-db-instances. Le statut de l'instance de base de données peut avoir les valeurs suivantes :
-
kerberos-enabled– L'instance de base de données a l'authentification Kerberos activée. -
enabling-kerberos– AWS est le processus d'activation de l'authentification Kerberos sur cette instance de base de données. -
pending-enable-kerberos– L'activation de l'authentification Kerberos est en attente sur cette instance de base de données. -
pending-maintenance-enable-kerberos– AWS tentera d'activer l'authentification Kerberos sur cette instance de base de données lors de la prochaine fenêtre de maintenance planifiée. -
pending-disable-kerberos– La désactivation de l'authentification Kerberos est en attente sur cette instance de base de données. -
pending-maintenance-disable-kerberos– AWS tentera de désactiver l'authentification Kerberos sur cette instance de base de données lors de la prochaine fenêtre de maintenance planifiée. -
enable-kerberos-failed– Un problème de configuration a empêché AWS d'activer l'authentification Kerberos sur l'instance de base de données. Corrigez le problème de configuration avant de réémettre la commande de modification de l'instance de base de données. -
disabling-kerberos– AWS est en train de désactiver l'authentification Kerberos sur cette instance de base de données.
Une demande d'activation de l'authentification Kerberos peut échouer à cause d'un problème de connectivité réseau ou d'un rôle IAM incorrect. Dans certains cas, la tentative d'activation de l'authentification Kerberos peut échouer lorsque vous créez ou modifiez une instance de base de données. Si tel est le cas, vérifiez que vous utilisez le rôle IAM correct, puis modifiez l'instance de base de données afin d'effectuer son rattachement au domaine.
Note
Seule l'authentification Kerberos avec RDS for PostgreSQL envoie le trafic aux serveurs DNS du domaine. Toutes les autres demandes DNS sont traitées comme un accès réseau sortant sur vos instances de bases de données exécutant PostgreSQL. Pour plus d'informations sur l'accès réseau sortant avec RDS for PostgreSQL, veuillez consulter Utilisation d'un serveur DNS personnalisé pour l'accès réseau sortant..
