Gerenciar um cluster de banco de dados do Aurora PostgreSQL em um domínio do Active Directory - Amazon Aurora

Gerenciar um cluster de banco de dados do Aurora PostgreSQL em um domínio do Active Directory

É possível usar o console, a CLI ou a API do RDS para gerenciar o cluster de banco de dados e suas relações com o Microsoft Active Directory. Por exemplo, é possível associar um Microsoft Active Directory para habilitar a autenticação Kerberos. Também é possível remover a associação de um Microsoft Active Directory para desabilitar a autenticação Kerberos. Também é possível mover um cluster de banco de dados para a autenticação externa por um Microsoft Active Directory para outro.

Por exemplo, usando a CLI, é possível fazer o seguinte:

  • Para tentar habilitar a autenticação Kerberos novamente para uma assinatura com falha, use o comando da CLI modify-db-cluster. Especifique o ID do diretório da associação atual para a opção --domain.

  • Para desabilitar a autenticação Kerberos em uma instância de banco de dados, use o comando da CLI modify-db-cluster. Especifique none para a opção --domain.

  • Para mover uma instância de banco de dados de um domínio para outro, use o comando da CLI modify-db-cluster. Especifique o identificador de domínio do novo domínio para a opção --domain.

Compreensão da associação de domínio

Depois de criar ou modificar seu cluster de banco de dados, as instâncias de banco de dados se tornam membros do domínio. É possível visualizar o status da associação do domínio no console ou executando o comando da CLI describe-db-instances. O status da instância de banco de dados pode ser um dos seguintes:

  • kerberos-enabled – a instância de banco de dados que tem a autenticação Kerberos habilitada.

  • enabling-kerberos: a AWS está no processo de habilitar a autenticação Kerberos nessa instância de bancos de dados.

  • pending-enable-kerberos – a habilitação da autenticação Kerberos está pendente nessa instância de banco de dados.

  • pending-maintenance-enable-kerberos: a AWS tentará habilitar a autenticação Kerberos na instância de bancos de dados durante a próxima janela de manutenção programada.

  • pending-disable-kerberos – a desabilitação da autenticação Kerberos está pendente nessa instância de banco de dados.

  • pending-maintenance-disable-kerberos: a AWS tentará desabilitar a autenticação Kerberos na instância de banco de dados durante a próxima janela de manutenção programada.

  • enable-kerberos-failed: um problema de configuração impediu que a AWS habilitasse a autenticação Kerberos na instância de banco de dados. Corrija o problema de configuração antes de emitir o comando novamente para modificar a instância de banco de dados.

  • disabling-kerberos: a AWS está no processo de desabilitar a autenticação Kerberos nessa instância de bancos de dados.

Uma solicitação para habilitar a autenticação Kerberos pode falhar por conta de um novo problema de conectividade de rede ou de um perfil do IAM incorreto. Em alguns casos, poderá haver falha na tentativa de habilitar a autenticação Kerberos quando você criar ou modificar um cluster de banco de dados. Nesse caso, verifique se você está usando o perfil do IAM correto e modifique o cluster de banco de dados para ingressar no domínio.