# ドメイン内の DB クラスターの管理
<a name="aurora-mysql-kerberos-managing"></a>

AWS CLI または RDS API を使用して、DB クラスターとマネージド Active Directory との関係を管理できます。例えば、Kerberos 認証用に Active Directory を関連付けたり、Active Directory の関連付けを解除して Kerberos 認証を有効にしたりできます。さらに、DB クラスターを外部認証する Active Directory を別の Active Directory に変更することもできます。

例えば、Amazon RDS API を使用して次を実行できます。
+ メンバーシップが失敗した Kerberos 認証を再度有効化するには、`ModifyDBInstance` API オペレーションを使用し、現在のメンバーシップのディレクトリ ID を指定します。
+ メンバーシップの IAM ロール名を更新するには、`ModifyDBInstance` API オペレーションを使用し、現在のメンバーシップのディレクトリ ID と新しい IAM ロールを指定します。
+ DB クラスターの Kerberos 認証を無効にするには、`ModifyDBInstance` API オペレーションを使用し、ドメインパラメータとして `none` を指定します。
+ ドメイン間で DB クラスターを移動するには、`ModifyDBInstance` API オペレーションを使用し、新しいドメインのドメイン識別子をドメインパラメータとして指定します。
+ 各 DB クラスターのメンバーシップを一覧表示するには、`DescribeDBInstances` API オペレーションを使用します。

## ドメインのメンバーシップを理解する
<a name="aurora-mysql-kerberos-managing.understanding"></a>

DB クラスターを作成または変更すると、そのインスタンスはドメインのメンバーになります。DB クラスターのドメインメンバーシップのステータスを表示するには、[describe-db-clusters](https://docs.aws.amazon.com/cli/latest/reference/rds/describe-db-clusters.html) CLI コマンドを実行します。DB クラスターのステータスは、次のいずれかです。
+ `kerberos-enabled` — DB クラスターでは Kerberos 認証が有効になっています。
+  `enabling-kerberos` — AWS は、この DB クラスターで Kerberos 認証を有効化中です。
+ `pending-enable-kerberos` — この DB クラスターでは、Kerberos 認証の有効化が保留になっています。
+ `pending-maintenance-enable-kerberos` - AWS は、次に予定されているメンテナンス期間で、DB クラスターの Kerberos 認証の有効化を試みます。
+ `pending-disable-kerberos` — この DB クラスターでは、Kerberos 認証の無効化が保留になっています。
+ `pending-maintenance-disable-kerberos` - AWS は、次に予定されているメンテナンス期間で、DB クラスターの Kerberos 認証の無効化を試みます。
+ `enable-kerberos-failed` - 設定の問題により、AWS は DB クラスター上の Kerberos 認証を有効化できませんでした。DB クラスターの変更コマンドを再発行する前に、設定を確認して修正してください。
+ `disabling-kerberos` — AWS は、この DB クラスターで Kerberos 認証を無効化中です。

ネットワーク接続の問題や正しくない IAM ロールのために、Kerberos 認証を有効化するリクエストは失敗する可能性があります。例えば、DB クラスターを作成するか、既存の DB クラスターを変更し、Kerberos 認証を有効化しようとして失敗したとします。この場合は、変更コマンドを再発行するか、新しく作成した DB クラスターを変更してドメインに参加させます。