管理網域中的資料庫叢集

您可以使用主控台、CLI 或 RDS API，來管理資料庫叢集，以及其與 Microsoft Active Directory 的關係。例如，您可以使 Active Directory 產生關聯，以啟用 Kerberos 身分驗證。您也可以移除 Active Directory 的關聯，以停用 Kerberos 身分驗證。您可以將要由某個 Microsoft Active Directory 外部識別的資料庫叢集移至另一個 Microsoft Active Directory。

例如，使用 CLI，您可以執行下列動作：

• 若要對失敗的成員資格重新嘗試啟用 Kerberos 身分驗證，請使用 modify-db-cluster CLI 命令。並針對 --domain 選項指定目前成員資格的目錄 ID。

• 若要在資料庫執行個體上停用 Kerberos 身分驗證，請使用 modify-db-cluster CLI 命令。並針對 none 選項指定 --domain。

• 若要將資料庫執行個體從某個網域移至另一個網域，請使用 modify-db-cluster CLI 命令。並針對 --domain 選項指定新網域的網域識別符。

了解網域成員資格

在您建立或修改資料庫叢集之後，此資料庫執行個體會成為。您可以在主控台中或執行 describe-db-instances CLI 命令，來檢視網域成員資格狀態。資料庫執行個體的狀態可以是下列其中一個：

• kerberos-enabled – 資料庫執行個體已啟用 Kerberos 身分驗證。

• enabling-kerberos – AWS 正在此資料庫執行個體上啟用 Kerberos 身分驗證。

• pending-enable-kerberos – 在此資料庫執行個體上擱置 Kerberos 身分驗證的啟用。

• pending-maintenance-enable-kerberos – AWS 將在下次排定的維護時段嘗試在資料庫執行個體上啟用 Kerberos 身分驗證。

• pending-disable-kerberos – 在此資料庫執行個體上擱置 Kerberos 身分驗證的停用。

• pending-maintenance-disable-kerberos – AWS 將在下次排定的維護時段嘗試在資料庫執行個體上停用 Kerberos 身分驗證。

• enable-kerberos-failed – 發生組態問題，導致 AWS 無法在資料庫執行個體上啟用 Kerberos 身分驗證。請更正問題，然後重新發出命令來修改資料庫執行個體。

• disabling-kerberos – AWS 正在此資料庫執行個體上停用 Kerberos 身分驗證。

由於網路連線問題或 IAM 角色不正確，請求啟用 Kerberos 身分驗證可能失敗。在某些情況下，當您建立或修改資料庫叢集時，嘗試啟用 Kerberos 身分驗證可能會失敗。若是如此，請確定您使用正確的 IAM 角色，然後修改要加入網域的資料庫叢集。