도메인에서 DB 인스턴스 관리 - Amazon Relational Database Service
도메인 멤버십Kerberos 키 강제 교체

도메인에서 DB 인스턴스 관리

콘솔, CLI 또는 RDS API를 사용하여 DB 인스턴스 및 DB 인스턴스와 Microsoft Active Directory의 관계를 관리할 수 있습니다. 예를 들어 Microsoft Active Directory를 연결하여 Kerberos 인증을 활성화할 수 있습니다. 또한 Microsoft Active Directory를 연결 해제하여 Kerberos 인증을 비활성화할 수 있습니다. 또한 DB 인스턴스를 이동하여 한 Microsoft Active Directory에서 다른 Microsoft Active Directory로 외부 인증하게 할 수 있습니다.

예를 들어 CLI를 사용하여 다음 작업을 수행할 수 있습니다.

  • 실패한 멤버십에 대한 Kerberos 인증 활성화를 다시 시도하려면 modify-db-instance CLI 명령을 사용하여 --domain 옵션에 현재 멤버십의 디렉터리 ID를 지정합니다.

  • DB 인스턴스에서 Kerberos 인증을 비활성화화려면 modify-db-instance CLI 명령을 사용하여 none 옵션에 대해 --domain을 지정합니다.

  • 한 도메인에서 다른 도메인으로 DB 인스턴스를 이동하려면 modify-db-instance CLI 명령을 사용하여 --domain 옵션에 대해 새 도메인의 도메인 식별자를 지정합니다.

도메인 멤버십 상태 보기

DB 인스턴스를 생성하거나 수정하면 해당 DB 인스턴스는 도메인의 멤버가 됩니다. 콘솔에서 또는 describe-db-instances CLI 명령을 실행하여 DB 인스턴스에 대한 도메인 멤버십의 상태를 확인할 수 있습니다. DB 인스턴스의 상태는 다음 중 한 가지가 될 수 있습니다.

  • kerberos-enabled - DB 인스턴스에 Kerberos 인증이 활성화되어 있습니다.

  • enabling-kerberos - AWS에서 이 DB 인스턴스에 대한 Kerberos 인증 활성화를 진행 중입니다.

  • pending-enable-kerberos - 이 DB 인스턴스에 대한 Kerberos 인증 활성화가 보류 중입니다.

  • pending-maintenance-enable-kerberos - AWS에서 예약된 다음 유지 관리 기간에 DB 인스턴스에 대한 Kerberos 인증을 활성화하려 합니다.

  • pending-disable-kerberos - 이 DB 인스턴스에 대한 Kerberos 인증 비활성화가 보류 중입니다.

  • pending-maintenance-disable-kerberos - AWS에서 예약된 다음 유지 관리 기간에 DB 인스턴스에 대한 Kerberos 인증을 비활성화하려 합니다.

  • enable-kerberos-failed - 구성 문제로 인해 AWS에서 DB 인스턴스에 대해 Kerberos 인증을 활성화하지 못했습니다. DB 인스턴스 수정 명령을 다시 실행하기 전에 구성 문제를 해결하십시오.

  • disabling-kerberos - AWS에서 이 DB 인스턴스에 대한 Kerberos 인증 비활성화를 진행 중입니다.

네트워크 연결 문제 또는 잘못된 IAM 역할로 인해 Kerberos 인증 활성화 요청이 실패할 수 있습니다. DB 인스턴스를 생성하거나 수정할 때 Kerberos 인증 활성화 시도가 실패하면 올바른 IAM 역할을 사용하고 있는지 확인하세요. 그런 다음 DB 인스턴스를 수정하여 도메인에 조인하게 합니다.

참고

Amazon RDS for Oracle을 사용한 Kerberos 인증에서만 트래픽을 도메인의 DNS 서버로 전송합니다. 다른 모든 DNS 요청은 Oracle을 실행 중인 DB 인스턴스에서 아웃바운드 네트워크 액세스로 취급됩니다. Amazon RDS for Oracle을 사용한 아웃바운드 네트워크 액세스에 대한 자세한 내용은 사용자 지정 DNS 서버 설정 단원을 참조하십시오.

Kerberos 키 강제 교체

비밀 키는 AWS Managed Microsoft AD와 Amazon RDS for Oracle DB 인스턴스 간에 공유됩니다. 이 키는 45일마다 자동으로 교체됩니다. 다음 Amazon RDS 절차를 사용하여 이 키를 강제로 회전할 수 있습니다.

SELECT rdsadmin.rdsadmin_kerberos_auth_tasks.rotate_kerberos_keytab AS TASK_ID FROM DUAL;
참고

읽기 전용 복제본 구성에서 이 절차는 읽기 전용 복제본이 아닌 원본 DB 인스턴스에서만 사용할 수 있습니다.

SELECT 문은 VARCHAR2 데이터 형식으로 작업 ID를 반환합니다. 진행 중인 작업의 상태를 bdump 파일에서 볼 수 있습니다. 이 bdump 파일은 /rdsdbdata/log/trace 디렉터리에 위치합니다. 각 bdump 파일 이름은 다음 형식으로 되어 있습니다.

dbtask-task-id.log

작업의 출력 파일을 표시하여 결과를 볼 수 있습니다.

SELECT text FROM table(rdsadmin.rds_file_util.read_text_file('BDUMP','dbtask-task-id.log'));

task-id를 절차에서 반환된 작업 ID로 대체합니다.

참고

작업은 비동기식으로 실행됩니다.