Habilitar e desabilitar a autenticação de banco de dados do IAM

Por padrão, a autenticação de banco de dados do IAM está desabilitada nos clusters de banco de dados. É possível habilitar ou desabilitar a autenticação de banco de dados do IAM usando o AWS Management Console, a AWS CLI ou a API.

É possível habilitar a autenticação de banco de dados do IAM ao executar uma das seguintes ações:

• Para criar um novo cluster de banco de dados com autenticação de banco de dados do IAM habilitada, consulte Criar um cluster de bancos de dados do Amazon Aurora.

• Para modificar um cluster de banco de dados para habilitar a autenticação de banco de dados do IAM, consulte Modificar um cluster de bancos de dados Amazon Aurora.

• Para restaurar um cluster de banco de dados de um snapshot com a autenticação de banco de dados do IAM habilitada, consulte Restauração de um snapshot de um cluster de banco de dados.

• Para restaurar um cluster de banco de dados em um momento específico com a autenticação de banco de dados do IAM habilitada, consulte Restaurar um cluster de banco de dados para um horário especificado.

Console

Cada fluxo de trabalho de criação ou modificação tem uma seção Database authentication (Autenticação de banco de dados), onde é possível habilitar ou desabilitar a autenticação de banco de dados do IAM. Nessa seção, escolha Password and IAM database authentication (Senha e autenticação do banco de dados do IAM) para habilitar a autenticação do banco de dados do IAM.

Para habilitar ou desabilitar a autenticação do banco de dados do IAM para um cluster de banco de dados existente

1. Abra o console do Amazon RDS em https://console.aws.amazon.com/rds/.

2. No painel de navegação, escolha Databases (Bancos de dados).

3. Escolha o cluster de banco de dados que você deseja modificar.

   nota

   Só será possível habilitar a autenticação do IAM se todas as instâncias de banco de dados no cluster de banco de dados forem compatíveis com o IAM. Verifique os requisitos de compatibilidade em Disponibilidade de região e versão.

4. Selecione Modify.

5. Na seção Database authentication (Autenticação do banco de dados), escolha Password and IAM database authentication (Senha e autenticação do banco de dados do IAM) para habilitar a autenticação do banco de dados do IAM. Escolha Autenticação de senha ou Senha e autenticação Kerberos para desabilitar a autenticação do IAM.

6. Escolha Continue.

7. Para aplicar as alterações imediatamente, escolha Immediately (Imediatamente) na seção Scheduling of modifications (Programação de modificações).

8. Escolha Modify cluster (Modificar cluster) para salvar suas alterações.

AWS CLI

Para criar um novo cluster de banco de dados com a autenticação do IAM usando a AWS CLI, use o comando create-db-cluster. Especifique a opção --enable-iam-database-authentication.

Para atualizar um cluster de banco de dados existente a fim de ter ou não autenticação do IAM, use o comando da AWS CLI modify-db-cluster. Especifique a opção --enable-iam-database-authentication ou --no-enable-iam-database-authentication, conforme apropriado.

nota

Só será possível habilitar a autenticação do IAM se todas as instâncias de banco de dados no cluster de banco de dados forem compatíveis com o IAM. Verifique os requisitos de compatibilidade em Disponibilidade de região e versão.

Por padrão, o Aurora modifica a instância de banco de dados durante a próxima janela de manutenção. Se você quiser habilitar a autenticação de banco de dados do IAM o mais rápido possível, use o parâmetro --apply-immediately.

Se você está restaurando um cluster de banco de dados, use um dos comandos da AWS CLI a seguir:

• restore-db-cluster-to-point-in-time

• restore-db-cluster-from-db-snapshot

A autenticação de banco de dados do IAM assumirá como padrão aquela do snapshot de origem. Para alterar essa configuração, defina a opção --enable-iam-database-authentication ou --no-enable-iam-database-authentication, conforme apropriado.

API do RDS

Para criar uma nova instância de banco de dados com a autenticação do IAM usando a API, use a operação da API CreateDBCluster. Defina o parâmetro EnableIAMDatabaseAuthentication como true.

Para atualizar um cluster de banco de dados existente a fim de ter ou não autenticação do IAM, use a operação da API ModifyDBCluster. Defina o parâmetro EnableIAMDatabaseAuthentication como true para habilitar a autenticação do IAM, ou false para desabilitá-la.

nota

Só será possível habilitar a autenticação do IAM se todas as instâncias de banco de dados no cluster de banco de dados forem compatíveis com o IAM. Verifique os requisitos de compatibilidade em Disponibilidade de região e versão.

Se você está restaurando um de instância de banco de dados, use uma das operações da API a seguir:

• RestoreDBClusterFromSnapshot

• RestoreDBClusterToPointInTime

A autenticação de banco de dados do IAM assumirá como padrão aquela do snapshot de origem. Para alterar essa configuração, defina o parâmetro EnableIAMDatabaseAuthentication como true para habilitar a autenticação do IAM, ou false para desabilitá-la.