Activación y desactivación de la autenticación de bases de datos de IAM

De forma predeterminada, la autenticación de bases de datos de IAM está deshabilitada en las instancias de base de datos. Puede activar o desactivar la autenticación de bases de datos de IAM mediante la AWS Management Console, la AWS CLI o la API.

Puede habilitar la autenticación de base de datos de IAM cuando realice una de las siguientes acciones:

• Para crear una nueva instancia de base de datos con la autenticación de base de datos de IAM activada, consulte Creación de una instancia de base de datos de Amazon RDS.

• Para modificar una instancia de base de datos para activar la autenticación de base de datos de IAM, consulte Modificación de una instancia de base de datos de Amazon RDS.

• Para restaurar una instancia de bases de datos a partir de una instantánea con la autenticación de base de datos de IAM activada, consulte Restauración desde una instantánea de un de base de datos.

• Para restaurar una instancia de base de datos a un momento dado con la autenticación de base de datos de IAM habilitada, consulte Restauración de una instancia de base de datos a un momento especificado.

La autenticación de IAM para instancias de base de datos PostgreSQL exige que el valor de SSL sea 1. No puede habilitar la autenticación de IAM para una instantánea de base de datos PostgreSQL si el valor de SSL es 0. No puede cambiar el valor de SSL a 0 si la autenticación de IAM está habilitada para una instancia de base de datos PostgreSQL.

Consola

Cada flujo de trabajo de creación o modificación tiene una sección Database authentication (Autenticación de base de datos), donde puede activar o desactivar la autenticación de base de datos de IAM. En esa sección, elija Password and IAM database authentication (Autenticación de bases de datos con contraseña e IAM) para activar la autenticación de base de datos de IAM.

Para activar o desactivar la autenticación de IAM para una instancia existente

1. Abra la consola de Amazon RDS en https://console.aws.amazon.com/rds/.

2. En el panel de navegación, seleccione Databases (Bases de datos).

3. Elija la instancia que desea modificar.

   nota

   Asegúrese de que la instancia de base de datos sea compatible con la autenticación de IAM. Compruebe los requisitos de compatibilidad en Disponibilidad en regiones y versiones.

4. Elija Modify.

5. En la sección Database authentication (Autenticación de base de datos), elija Password and IAM database authentication (Autenticación de bases de datos con contraseña e IAM) para activar la autenticación de base de datos de IAM. Elija Autenticación con contraseña o Contraseña y autenticación Kerberos para deshabilitar la autenticación de IAM.

6. Elija Continue.

7. Para aplicar los cambios inmediatamente, elija Immediately (Inmediatamente) en la sección Scheduling of modifications (Programación de modificaciones).

8. Elija Modify DB instance (Modificar instancia de base de datos) .

AWS CLI

Para crear una instancia de base de datos nueva con la autenticación de IAM mediante la AWS CLI, use el comando create-db-instance. Especifique la opción --enable-iam-database-authentication, como se muestra en el siguiente ejemplo.

aws rds create-db-instance \
    --db-instance-identifier mydbinstance \
    --db-instance-class db.m3.medium \
    --engine MySQL \
    --allocated-storage 20 \
    --master-username masterawsuser \
    --manage-master-user-password \
    --enable-iam-database-authentication 

Para actualizar una instancia de base de datos existente para que tenga o no tenga autenticación de IAM, utilice el comando AWS CLI de la modify-db-instance. Especifique la opción --enable-iam-database-authentication o --no-enable-iam-database-authentication, como proceda.

nota

Asegúrese de que la instancia de base de datos sea compatible con la autenticación de IAM. Compruebe los requisitos de compatibilidad en Disponibilidad en regiones y versiones.

De forma predeterminada, Amazon RDS realiza la modificación durante el siguiente periodo de mantenimiento. Si desea invalidar esto y habilitar la autenticación de bases de datos de IAM lo antes posible, use el parámetro --apply-immediately.

En el siguiente ejemplo se muestra cómo habilitar inmediatamente la autenticación de IAM para una instancia de base de datos existente.

aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --apply-immediately \
    --enable-iam-database-authentication

Si restaura una instancia, use uno de los siguientes comandos de AWS CLI:

• restore-db-instance-to-point-in-time

• restore-db-instance-from-db-snapshot

De forma predeterminada, la configuración de la autenticación de bases de datos de IAM será la de la instantánea de origen. Para cambiar esta configuración, establezca la opción --enable-iam-database-authentication o --no-enable-iam-database-authentication, como proceda.

API de RDS

Para crear una instancia de base de datos nueva con la autenticación de IAM mediante la API, use la operación de la API CreateDBInstance. Defina el parámetro EnableIAMDatabaseAuthentication como true.

Para actualizar una instancia de base de datos existente para que tenga o no tenga autenticación de IAM, utilice la operación de la API ModifyDBInstance. Establezca el parámetro EnableIAMDatabaseAuthentication en true para habilitar la autenticación de IAM o en false para deshabilitarla.

nota

Asegúrese de que la instancia de base de datos sea compatible con la autenticación de IAM. Compruebe los requisitos de compatibilidad en Disponibilidad en regiones y versiones.

Si restaura una instancia, use una de las siguientes operaciones de la API:

• RestoreDBInstanceFromDBSnapshot

• RestoreDBInstanceToPointInTime

De forma predeterminada, la configuración de la autenticación de bases de datos de IAM será la de la instantánea de origen. Para cambiar esta configuración, establezca el parámetro EnableIAMDatabaseAuthentication en true para habilitar la autenticación de IAM o false para deshabilitarla.