Autenticación de bases de datos con Amazon RDS - Amazon Relational Database Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Autenticación de bases de datos con Amazon RDS

Amazon RDS admite varias formas de autenticar usuarios de bases de datos.

Autenticación de contraseña

Con la autenticación de contraseña, la instancia de base de datos realiza toda la administración de cuentas de usuario. Puede crear usuarios con instrucciones SQL como CREATE USER y especificar contraseñas en la cláusula IDENTIFIED BY.

Todos los motores de base de datos RDS admiten la autenticación de contraseña. Para obtener más información acerca de la autenticación de contraseña, consulte la documentación del motor de base de datos.

Con la autenticación por contraseña, la base de datos controla y autentica las cuentas de usuario. Si un motor de base de datos tiene características sólidas de administración de contraseñas, puede mejorar la seguridad. La autenticación de bases de datos puede ser más fácil de administrar mediante la autenticación de contraseña cuando tiene comunidades de usuarios pequeñas. Debido a que en este caso se generan contraseñas de texto sin formato, la integración con AWS Secrets Manager puede mejorar la seguridad.

Para obtener información sobre el uso de Secrets Manager con Amazon RDS, consulte Crear un secreto básico y Girar secretos para bases de datos de Amazon RDS admitidas en Guía del usuario de AWS Secrets Manager. Para obtener información acerca de cómo recuperar los secretos mediante programación en las aplicaciones personalizadas, consulte Recuperar el valor secreto en la Guía del usuario de AWS Secrets Manager.

Autenticación de bases de datos de IAM

Puede autenticarse en su instancia de base de datos utilizando la autenticación de base de datos de AWS Identity and Access Management (IAM). La autenticación de base de datos de IAM funciona conMySQL y PostgreSQL. Con este método de autenticación, no es necesario usar una contraseña al conectarse a una instancia de base de datos. En su lugar, puede usar un token de autenticación.

Para obtener más información acerca de la autenticación IAM de bases de datos, incluida información sobre la disponibilidad de motores de base de datos específicos, consulte Autenticación de bases de datos de IAM para MySQL y PostgreSQL.

Autenticación Kerberos

Amazon RDS admite la autenticación externa de usuarios de bases de datos que usan Kerberos y Microsoft Active Directory. Kerberos es un protocolo de autenticación de red que usa tickets y criptografía de clave simétrica para eliminar la necesidad de transmitir contraseñas a través de la red. Kerberos ha sido creado en Active Directory y está diseñado para autenticar usuarios para recursos de redes, como bases de datos.

La compatibilidad de Amazon RDS con Kerberos y Microsoft Active Directory ofrece beneficios de inicio de sesión único y autenticación centralizada de usuarios de bases de datos. Puede mantener sus credenciales de usuario en Active Directory. Active Directory ofrece un lugar centralizado para almacenar y administrar credenciales para varias instancias de bases de datos.

Puede habilitar a los usuarios de base de datos para que se autentiquen frente a instancias de base de datos de dos formas. Pueden utilizar credenciales almacenadas en AWS Directory Service for Microsoft Active Directory o en Active Directory en las instalaciones.

Las instancias de base de datos de Microsoft SQL Server, MySQL y PostgreSQL admiten relaciones de confianza entre bosques unidireccionales y bidireccionales. Las instancias de base de datos de Oracle admiten relaciones de confianza externas y entre bosques unidireccionales y bidireccionales. Para obtener más información, consulte Cuándo crear una relación de confianza en la Guía de administración de AWS Directory Service.

Para obtener información sobre la autenticación de Kerberos con un motor específico, consulte lo siguiente:

nota

Actualmente, la autenticación Kerberos no es compatible con las instancias de base de datos MariaDB.