Autenticación de bases de datos de IAM para MariaDB, MySQL, and PostgreSQL - Amazon Relational Database Service

Autenticación de bases de datos de IAM para MariaDB, MySQL, and PostgreSQL

Puede autenticar en su instancia mediante la autenticación de base de datos de AWS Identity and Access Management (IAM). La autenticación de base de datos de IAM funciona con MySQL y PostgreSQL. Con este método de autenticación, no es necesario usar una contraseña al conectarse a una instancia. En su lugar, puede usar un token de autenticación.

Un token de autenticación es una cadena única de caracteres que genera Amazon RDS bajo demanda. Los tokens de autenticación se generan mediante AWS Signature versión 4. Cada token tiene una vida útil de 15 minutos. No es necesario almacenar credenciales de usuario en la base de datos, ya que la autenticación se administra de forma externa mediante IAM. También puede seguir utilizando la autenticación de base de datos estándar. El token solo se utiliza para la autenticación y no afecta a la sesión después de establecerse.

La autenticación de bases de datos de IAM proporciona los siguientes beneficios:

  • El tráfico de red hacia y desde la base de datos se cifra mediante Secure Socket Layer (SSL) o Transport Layer Security (TLS). Para obtener más información sobre el uso de SSL/TLS con Amazon RDS, consulte Uso de SSL/TLS para cifrar una conexión a una instancia.

  • Puede usar IAM para administrar de forma centralizada el acceso a sus recursos de base de datos, en lugar de administrar el acceso individualmente en cada instancia.

  • Para las aplicaciones que se ejecutan en Amazon EC2, puede usar las credenciales del perfil específicas de la instancia EC2 para obtener acceso a su base de datos en lugar de una contraseña, para mayor seguridad.

Disponibilidad para la autenticación de bases de datos de IAM

La autenticación de bases de datos de IAM está disponible para los siguientes motores de base de datos:

  • MariaDB 10.6, todas las versiones secundarias

  • MySQL 8.0, versión secundaria 8.0.16 o posterior.

  • MySQL 5.7, versión secundaria 5.7.16 o posterior

  • PostgreSQL 14, 13, 12 y 11, todas las versiones secundarias

  • PostgreSQL 10, versión secundaria 10.6 o posterior

  • PostgreSQL 9.6, versión secundaria 9.6.11 o posterior

  • PostgreSQL 9.5, versión secundaria 9.5.15 o posterior

La autenticación de bases de datos de IAM está disponible para la AWS CLI y para los siguientes SDK de AWS específicos de idioma:

Restricciones a la autenticación de bases de datos de IAM

Si utiliza la autenticación de base de datos de IAM, se aplicarán las siguientes limitaciones:

  • El número máximo de conexiones por segundo de la instancia puede limitarse en función de la clase de la instancia de base de datos y de la carga de trabajo.

  • Actualmente, la autenticación de base de datos de IAM no admite todas las claves de contexto de condición global.

    Para obtener más información sobre las claves de condición globales, consulte Claves de contexto de condición globales de AWS en la Guía del usuario de IAM.

  • Actualmente, la autenticación de base de datos de IAM no admite CNAME.

  • Para PostgreSQL, si el rol de IAM (rds_iam) se agrega al usuario maestro, la autenticación de IAM tiene prioridad sobre la autenticación con contraseña, por lo que el usuario maestro tiene que iniciar sesión como usuario de IAM.

Recomendaciones de MariaDB y MySQL para la autenticación de bases de datos de IAM

Si utiliza el motor de base de datos MySQL de MariaDB o , le recomendamos lo siguiente:

  • Use la autenticación de bases de datos de IAM como mecanismo para el acceso temporal y personal a las bases de datos.

  • Use la autenticación de bases de datos de IAM solo para las cargas de trabajo que se puedan reintentar con facilidad.

  • Utilice la autenticación de base de datos de IAM cuando la aplicación necesite menos de 200 conexiones nuevas por segundo para la autenticación de bases de datos de IAM.

    Los motores de base de datos que funcionan con Amazon RDS no imponen ninguna restricción a los intentos de autenticación por segundo. Sin embargo, al usar la autenticación de bases de datos de IAM, su aplicación debe generar un token de autenticación. A continuación, su aplicación usa ese token para conectarse a la instancia. Si supera el límite máximo de nuevas conexiones por segundo, la sobrecarga adicional de la autenticación de bases de datos de IAM puede dar lugar a la limitación controlada de las conexiones. La sobrecarga adicional incluso puede dar lugar incluso a la caída de las conexiones existentes. Para obtener información sobre las conexiones totales máximas para MariaDB y MySQL, consulte Máximo de conexiones de MySQL y MariaDB.

nota

Estas recomendaciones no se aplican a las instancias de base de datos de Amazon RDS para PostgreSQL.