ドメイン内の DB クラスターの管理

AWS CLI または RDS API を使用して、DB クラスターとマネージド Active Directory との関係を管理できます。例えば、Kerberos 認証用に Active Directory を関連付けたり、Active Directory の関連付けを解除して Kerberos 認証を有効にしたりできます。さらに、DB クラスターを外部認証する Active Directory を別の Active Directory に変更することもできます。

例えば、Amazon RDS API を使用して次を実行できます。

• メンバーシップが失敗した Kerberos 認証を再度有効化するには、ModifyDBInstance API オペレーションを使用し、現在のメンバーシップのディレクトリ ID を指定します。

• メンバーシップの IAM ロール名を更新するには、ModifyDBInstance API オペレーションを使用し、現在のメンバーシップのディレクトリ ID と新しい IAM ロールを指定します。

• DB クラスターの Kerberos 認証を無効にするには、ModifyDBInstance API オペレーションを使用し、ドメインパラメータとして none を指定します。

• ドメイン間で DB クラスターを移動するには、ModifyDBInstance API オペレーションを使用し、新しいドメインのドメイン識別子をドメインパラメータとして指定します。

• 各 DB クラスターのメンバーシップを一覧表示するには、DescribeDBInstances API オペレーションを使用します。

ドメインのメンバーシップを理解する

DB クラスターを作成または変更すると、そのインスタンスはドメインのメンバーになります。DB クラスターのドメインメンバーシップのステータスを表示するには、describe-db-clusters CLI コマンドを実行します。DB クラスターのステータスは、次のいずれかです。

• kerberos-enabled — DB クラスターでは Kerberos 認証が有効になっています。

• enabling-kerberos — AWS は、この DB クラスターで Kerberos 認証を有効化中です。

• pending-enable-kerberos — この DB クラスターでは、Kerberos 認証の有効化が保留になっています。

• pending-maintenance-enable-kerberos - AWS は、次に予定されているメンテナンス期間で、DB クラスターの Kerberos 認証の有効化を試みます。

• pending-disable-kerberos — この DB クラスターでは、Kerberos 認証の無効化が保留になっています。

• pending-maintenance-disable-kerberos - AWS は、次に予定されているメンテナンス期間で、DB クラスターの Kerberos 認証の無効化を試みます。

• enable-kerberos-failed - 設定の問題により、AWS は DB クラスター上の Kerberos 認証を有効化できませんでした。DB クラスターの変更コマンドを再発行する前に、設定を確認して修正してください。

• disabling-kerberos — AWS は、この DB クラスターで Kerberos 認証を無効化中です。

ネットワーク接続の問題や正しくない IAM ロールのために、Kerberos 認証を有効化するリクエストは失敗する可能性があります。例えば、DB クラスターを作成するか、既存の DB クラスターを変更し、Kerberos 認証を有効化しようとして失敗したとします。この場合は、変更コマンドを再発行するか、新しく作成した DB クラスターを変更してドメインに参加させます。