Creación de cuentas de base de datos utilizando autenticación de IAM
Con la autenticación de bases de datos de IAM, no es necesario asignar contraseñas de la base de datos a las cuentas de usuario creadas. Si quita un usuario asignado a una cuenta de base de datos, también debe quitar la cuenta de base de datos con la instrucción DROP USER.
nota
El nombre de usuario utilizado para la autenticación de IAM debe coincidir con el nombre de usuario en la base de datos.
Temas
Uso de la autenticación de IAM con Aurora MySQL
Con Aurora MySQL, AWSAuthenticationPlugin gestiona la autenticación. Se trata de un complemento proporcionado por AWS que funciona perfectamente con IAM para autenticar a sus usuarios. Conecte al clúster de de base de datos como usuario maestro o como usuario diferente que pueda crear usuarios y conceder privilegios. Tras la conexión, lance la instrucción CREATE USER, tal como se muestra en el siguiente ejemplo.
CREATE USER jane_doe IDENTIFIED WITH AWSAuthenticationPlugin AS 'RDS';
La cláusula IDENTIFIED WITH permite que Aurora MySQL usen AWSAuthenticationPlugin para autenticar la cuenta de base de datos (jane_doe). La cláusula de AS 'RDS' hace referencia al método de autenticación. Asegúrese de que el nombre de usuario de la base de datos especificado sea igual a un recurso de la política de IAM para el acceso a la base de datos de IAM. Para obtener más información, consulte Creación y uso de una política de IAM para el acceso a bases de datos de IAM.
nota
Si ve el siguiente mensaje, significa que el complemento proporcionado por AWS no está disponible para la y clúster de bases de datos actual.
ERROR 1524 (HY000): Plugin 'AWSAuthenticationPlugin' is not
loaded
Para identificar este error, verifique que usa una configuración admitida y que ha habilitado la autenticación de bases de datos de IAM en su clúster de bases de datos. Para obtener más información, consulte Disponibilidad en regiones y versiones y Activación y desactivación de la autenticación de bases de datos de IAM.
Después de crear una cuenta mediante AWSAuthenticationPlugin, puede administrarla de la misma forma que otras cuentas de base de datos. Por ejemplo, puede modificar los privilegios de cuenta con las instrucciones GRANT y REVOKE, o bien modificar diversos atributos de cuenta con la instrucción ALTER USER.
El tráfico de la red de la base de datos se cifra mediante SSL/TLS cuando se utiliza IAM. Para permitir las conexiones SSL, modifique la cuenta de usuario con el siguiente comando.
ALTER USER 'jane_doe'@'%' REQUIRE SSL;
Uso de la autenticación de IAM con Aurora PostgreSQL
Para usar la autenticación de IAM con Aurora PostgreSQL, conéctese al clúster de base de datos como usuario maestro o como usuario diferente que pueda crear usuarios y conceder privilegios. Tras la conexión, cree usuarios de base de datos y, a continuación, concédales el rol rds_iam tal como se muestra en el siguiente ejemplo.
CREATE USER db_userx; GRANT rds_iam TO db_userx;
Asegúrese de que el nombre de usuario de la base de datos especificado sea igual a un recurso de la política de IAM para el acceso a la base de datos de IAM. Para obtener más información, consulte Creación y uso de una política de IAM para el acceso a bases de datos de IAM.
Tenga en cuenta que un usuario de base de datos de PostgreSQL puede usar una autenticación de IAM o Kerberos, pero no ambas, por lo que este usuario tampoco puede tener el rol rds_ad. Esto se aplica también a las membresías anidadas. Para obtener más información, consulte Paso 7: crear usuarios de PostgreSQL para las entidades principales de Kerberos .
