Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Gerenciamento de uma instância de banco de dados em um domínio

PDF
RSS
Modo de foco
Gerenciamento de uma instância de banco de dados em um domínio - Amazon Relational Database Service
Associação de domínioChaves Kerberos de alternância forçada

É possível usar o console, a CLI ou a API do RDS para gerenciar a instância de banco de dados e suas relações com o Microsoft Active Directory. Por exemplo, é possível associar um Microsoft Active Directory para permitir a autenticação Kerberos. Também é possível desassociar um Microsoft Active Directory para desabilitar a autenticação Kerberos. Também é possível mover uma instância de banco de dados para ser autenticada externamente por um Microsoft Active Directory para outra.

Por exemplo, usando a CLI, é possível fazer o seguinte:

  • Para tentar habilitar a autenticação Kerberos novamente para uma assinatura com falha, use o comando modify-db-instance da CLI e especifique o ID do diretório atual da assinatura para a opção --domain.

  • Para desabilitar a autenticação Kerberos em uma instância de banco de dados, use o comando modify-db-instance da CLI e especifique none para a opção --domain.

  • Para mover uma instância de banco de dados de um domínio para outro, use o comando modify-db-instance da CLI e especifique o identificador de domínio do novo domínio para a opção --domain.

Visualizar o status da associação ao domínio

Após criar ou modificar a instância de banco de dados, ela se tornará um membro do domínio. É possível visualizar o status da assinatura do domínio para a instância de banco de dados no console ou executando o comando describe-db-instances da CLI. O status da instância de banco de dados pode ser um dos seguintes:

  • kerberos-enabled – a instância de banco de dados que tem a autenticação Kerberos habilitada.

  • enabling-kerberos: a AWS está no processo de habilitar a autenticação Kerberos nessa instância de bancos de dados.

  • pending-enable-kerberos – a habilitação da autenticação Kerberos está pendente nessa instância de banco de dados.

  • pending-maintenance-enable-kerberos: a AWS tentará habilitar a autenticação Kerberos na instância de bancos de dados durante a próxima janela de manutenção programada.

  • pending-disable-kerberos – a desabilitação da autenticação Kerberos está pendente nessa instância de banco de dados.

  • pending-maintenance-disable-kerberos: a AWS tentará desabilitar a autenticação Kerberos na instância de banco de dados durante a próxima janela de manutenção programada.

  • enable-kerberos-failed: um problema de configuração impediu que a AWS habilitasse a autenticação Kerberos na instância de banco de dados. Corrija o problema de configuração antes de emitir o comando novamente para modificar a instância de banco de dados.

  • disabling-kerberos: a AWS está no processo de desabilitar a autenticação Kerberos nessa instância de bancos de dados.

Uma solicitação para habilitar a autenticação Kerberos pode falhar por conta de um novo problema de conectividade de rede ou de uma função do IAM incorreta. Se a tentativa de habilitar a autenticação Kerberos falhar ao criar ou modificar uma instância de banco de dados, verifique se você está usando a função do IAM correta. Depois, modifique a instância de banco de dados para ingressar no domínio.

nota

Somente a autenticação Kerberos com o Amazon RDS para Oracle envia tráfego para os servidores DNS do domínio. Todas as outras solicitações de DNS são tratadas como acesso à rede de saída nas instâncias de bancos de dados que executam o Oracle. Para obter mais informações sobre o acesso à rede de saída com o Amazon RDS para Oracle, consulte Configuração de um servidor DNS personalizado.

Chaves Kerberos de alternância forçada

Uma chave secreta é compartilhada entre AWS Managed Microsoft AD e o Amazon RDS para Oracle para a instância de banco de dados Oracle. Essa chave é alternada automaticamente a cada 45 dias. É possível usar o procedimento do Amazon RDS a seguir para forçar a rotação dessa chave.

SELECT rdsadmin.rdsadmin_kerberos_auth_tasks.rotate_kerberos_keytab AS TASK_ID FROM DUAL;
nota

Em uma configuração de réplica de leitura, esse procedimento está disponível apenas na instância de banco de dados de origem e não na réplica de leitura.

A instrução SELECT retorna o ID da tarefa em um tipo de dados VARCHAR2. Você pode visualizar o status de uma tarefa em andamento em um arquivo bdump. Os arquivos bdump estão localizados no diretório /rdsdbdata/log/trace. Cada nome de arquivo bdump está no seguinte formato.

dbtask-task-id.log

Você pode visualizar o resultado exibindo o arquivo de saída da tarefa.

SELECT text FROM table(rdsadmin.rds_file_util.read_text_file('BDUMP','dbtask-task-id.log'));

Substitua task-id pelo ID da tarefa retornado pelo procedimento.

nota

As tarefas são executadas de forma assíncrona.

Nesta página

Related resources

Referência da API do Amazon RDS
Comandos da AWS CLI para o Amazon RDS
SDKs e ferramentas 

Related resources

Referência da API do Amazon RDS
Comandos da AWS CLI para o Amazon RDS
SDKs e ferramentas 
PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.