管理網域中的資料庫執行個體

您可以使用主控台、CLI 或 RDS API，來管理資料庫執行個體，以及其與 Microsoft Active Directory 的關係。例如，您可以使 Active Directory 產生關聯，以啟用 Kerberos 身分驗證。您也可以移除 Active Directory 的關聯，以停用 Kerberos 身分驗證。您可以將要由某個 Microsoft Active Directory 外部識別的資料庫執行個體移至另一個 Microsoft Active Directory。

例如，使用 CLI，您可以執行下列動作：

• 若要對失敗的成員資格重新嘗試啟用 Kerberos 身分驗證，請使用 modify-db-instance CLI 命令。並針對 --domain 選項指定目前成員資格的目錄 ID。

• 若要在資料庫執行個體上停用 Kerberos 身分驗證，請使用 modify-db-instance CLI 命令。並針對 none 選項指定 --domain。

• 若要將資料庫執行個體從某個網域移至另一個網域，請使用 modify-db-instance CLI 命令。並針對 --domain 選項指定新網域的網域識別符。

了解網域成員資格

在您建立或修改資料庫執行個體之後，網域的成員。您可以在主控台中或執行 describe-db-instances CLI 命令，來檢視網域成員資格狀態。資料庫執行個體的狀態可以是下列其中一個：

• kerberos-enabled – 資料庫執行個體已啟用 Kerberos 身分驗證。

• enabling-kerberos – AWS 正在此資料庫執行個體上啟用 Kerberos 身分驗證。

• pending-enable-kerberos – 在此資料庫執行個體上擱置 Kerberos 身分驗證的啟用。

• pending-maintenance-enable-kerberos – AWS 將在下次排定的維護時段嘗試在資料庫執行個體上啟用 Kerberos 身分驗證。

• pending-disable-kerberos – 在此資料庫執行個體上擱置 Kerberos 身分驗證的停用。

• pending-maintenance-disable-kerberos – AWS 將在下次排定的維護時段嘗試在資料庫執行個體上停用 Kerberos 身分驗證。

• enable-kerberos-failed – 發生組態問題，導致 AWS 無法在資料庫執行個體上啟用 Kerberos 身分驗證。請更正問題，然後重新發出命令來修改資料庫執行個體。

• disabling-kerberos – AWS 正在此資料庫執行個體上停用 Kerberos 身分驗證。

由於網路連線問題或 IAM 角色不正確，請求啟用 Kerberos 身分驗證可能失敗。在某些情況下，當您建立或修改資料庫執行個體時，嘗試啟用 Kerberos 身分驗證可能會失敗。若是如此，請確定您使用正確的 IAM 角色，然後修改要加入網域的資料庫執行個體。

注意

只有搭配使用 Kerberos 身分驗證與 RDS for PostgreSQL 時，流量才會傳送至網域的 DNS 伺服器。所有其他 DNS 請求都會被視為執行 PostgreSQL 之資料庫執行個體上的傳出網路存取。如需傳出網路存取搭配 RDS for PostgreSQL 的詳細資訊，請參閱針對傳出網路存取使用自訂 DNS 伺服器。。