Autenticación de bases de datos de IAM para MySQL y PostgreSQL - Amazon Relational Database Service

Autenticación de bases de datos de IAM para MySQL y PostgreSQL

Puede autenticarse en su instancia de base de datos utilizando la autenticación de base de datos de AWS Identity and Access Management (IAM). La autenticación de base de datos de IAM funciona conMySQL y PostgreSQL. Con este método de autenticación, no es necesario usar una contraseña al conectarse a una instancia de base de datos. En su lugar, puede usar un token de autenticación.

Un token de autenticación es una cadena única de caracteres que genera Amazon RDS bajo demanda. Los tokens de autenticación se generan mediante AWS Signature Version 4. Cada token tiene una vida útil de 15 minutos. No es necesario almacenar credenciales de usuario en la base de datos, ya que la autenticación se administra de forma externa mediante IAM. También puede seguir utilizando la autenticación de base de datos estándar.

La autenticación de bases de datos de IAM proporciona los siguientes beneficios:

  • El tráfico de red hacia y desde la base de datos se cifra mediante Secure Socket Layer (SSL) o Transport Layer Security (TLS). Para obtener más información sobre el uso de SAML con Amazon RDS, consulte Uso de SSL/TLS para cifrar una conexión a una instancia de base de datos.

  • Puede usar IAM para administrar de forma centralizada el acceso a sus recursos de base de datos, en lugar de administrar el acceso individualmente en cada instancia de base de datos.

  • Para las aplicaciones que se ejecutan en Amazon EC2, puede usar las credenciales del perfil específicas de la instancia EC2 para obtener acceso a su base de datos en lugar de una contraseña, para mayor seguridad.

Disponibilidad para la autenticación de bases de datos de IAM

La autenticación de bases de datos de IAM está disponible para los siguientes motores de base de datos:

  • MySQL 8.0, versión secundaria 8.0.16 o posterior.

  • MySQL 5.7, versión secundaria 5.7.16 o posterior

  • MySQL 5.6, versión secundaria 5.6.34 o posterior

  • PostgreSQL 12, todas las versiones secundarias

  • PostgreSQL 11, todas las versiones secundarias

  • PostgreSQL 10, versión secundaria 10.6 o posterior

  • PostgreSQL 9.6, versión secundaria 9.6.11 o posterior

  • PostgreSQL 9.5, versión secundaria 9.5.15 o posterior

Restricciones a la autenticación de bases de datos de IAM

Si utiliza la autenticación de base de datos de IAM, se aplicarán las siguientes limitaciones:

  • El número máximo de conexiones por segundo de la instancia de base de datos puede limitarse en función de la clase de la instancia de base de datos y de la carga de trabajo.

  • Actualmente, la autenticación de base de datos de IAM no admite claves de contexto de condición globales.

    Para obtener más información sobre las claves de condición globales, consulte Claves de contexto de condición de IAM y globales de AWS en la Guía del usuario de IAM.

  • Actualmente, la autenticación de base de datos de IAM no admite CNAME.

Recomendaciones sobre MySQL para la autenticación de bases de datos de IAM

Si utiliza el motor de base de datos MySQl de , le recomendamos lo siguiente:

  • Use la autenticación de bases de datos de IAM como mecanismo para el acceso temporal y personal a las bases de datos.

  • Use la autenticación de bases de datos de IAM solo para las cargas de trabajo que se puedan reintentar con facilidad.

  • Utilice la autenticación de base de datos de IAM cuando la aplicación necesite menos de 200 conexiones nuevas por segundo para la autenticación de bases de datos de IAM.

    Los motores de base de datos que funcionan con Amazon RDS no imponen ninguna restricción a los intentos de autenticación por segundo. Sin embargo, al usar la autenticación de bases de datos de IAM, su aplicación debe generar un token de autenticación. A continuación, su aplicación usa ese token para conectarse a la instancia de base de datos. Si supera el límite máximo de nuevas conexiones por segundo, la sobrecarga adicional de la autenticación de bases de datos de IAM puede dar lugar a la limitación controlada de las conexiones. La sobrecarga adicional incluso puede dar lugar incluso a la caída de las conexiones existentes. Para obtener información acerca del máximo de conexiones totales para MySQL, consulte Máximo de conexiones de MySQL y MariaDB.