Solución de problemas de autenticación de bases de datos de IAM

A continuación, encontrará ideas para la solución de problemas comunes de autenticación de bases de datos de IAM e información sobre los registros y métricas de CloudWatch para la autenticación de base de datos de IAM.

Exportación de registros de errores de autenticación de bases de datos de IAM a Registros de CloudWatch

Los registros de errores de autenticación de bases de datos de IAM se almacenan en el host de base de datos y puede exportar estos registros a la cuenta de Registros de CloudWatch. Utilice los registros y métodos de solución de esta página para solucionar los problemas de autenticación de bases de datos de IAM.

Puede habilitar la exportación de registros a Registros de CloudWatch desde la consola, la AWS CLI y la API de RDS. Para obtener instrucciones sobre la consola, consulte Publicación de registros de base de datos en registros de Amazon Cloudwatch.

Para exportar los registros de errores de autenticación de bases de datos de IAM a Registros de CloudWatch al crear clúster de bases de datos desde la AWS CLI, utilice el siguiente comando:


aws rds create-db-cluster --db-cluster-identifier mydbinstance \
--region us-east-1 \
--engine postgres \
--engine-version 16 \
--master-username master \
--master-user-password password \
--publicly-accessible \
--enable-iam-database-authentication \
--enable-cloudwatch-logs-exports=iam-db-auth-error

Para exportar los registros de errores de autenticación de bases de datos de IAM a Registros de CloudWatch al modificar clúster de bases de datos desde la AWS CLI, utilice el siguiente comando:


aws rds modify-db-cluster --db-instance-identifier mydbcluster \
--region us-east-1 \
--cloudwatch-logs-export-configuration '{"EnableLogTypes":["iam-db-auth-error"]}'

Para verificar si el clúster de bases de datos está exportando los registros de autenticación de base de datos de IAM a Registros de CloudWatch, compruebe si el parámetro EnabledCloudwatchLogsExports está establecido en iam-db-auth-error en la salida del comando describe-db-instances.


aws rds describe-db-cluster --region us-east-1 --db-cluster-identifier mydbcluster
            ...
            
             "EnabledCloudwatchLogsExports": [
                "iam-db-auth-error"
            ],
            ...

Métricas de CloudWatch de autenticación de bases de datos de IAM

Amazon Aurora proporciona métricas casi en tiempo real sobre la autenticación de bases de datos de IAM a la cuenta de Amazon CloudWatch. En la siguiente tabla se enumeran las métricas de autenticación de bases de datos de IAM disponibles mediante CloudWatch:

Métrica	Descripción
`IamDbAuthConnectionRequests`	Número total de solicitudes de conexión realizadas con autenticación de bases de datos de IAM.
`IamDbAuthConnectionSuccess`	Número total de solicitudes de autenticación de bases de datos de IAM correctamente realizadas.
`IamDbAuthConnectionFailure`	Número total de solicitudes de autenticación de bases de datos de IAM con error.
`IamDbAuthConnectionFailureInvalidToken`	Número total de solicitudes de autenticación de bases de datos de IAM con error debido a un token no válido.
`IamDbAuthConnectionFailureInsufficientPermissions`	Número total de solicitudes de autenticación de bases de datos de IAM con error debido a políticas o permisos incorrectos.
`IamDbAuthConnectionFailureThrottling`	Número total de solicitudes de autenticación de bases de datos de IAM con error debido a la limitación de la autenticación de bases de datos de IAM.
`IamDbAuthConnectionFailureServerError`	Número total de solicitudes de autenticación de bases de datos de IAM con error debido a un error interno del servidor en la característica de autenticación de bases de datos de IAM.

Problemas y soluciones comunes de

Es posible que se encuentre con los siguientes problemas al utilizar la autenticación de bases de datos de IAM. Utilice los pasos de corrección de la tabla para resolver los problemas:

Error	Métricas	Causa	Solución
`[ERROR] Failed to authenticate the connection request for user db_user because the provided token is malformed or otherwise invalid. (Status Code: 400, Error Code: InvalidToken)`	`IamDbAuthConnectionFailure` `IamDbAuthConnectionFailureInvalidToken`	El token de autenticación de bases de datos de IAM en la solicitud de conexión no es un token SigV4a válido o no tiene el formato correcto.	Compruebe la estrategia de generación de tokens en la aplicación. En algunos casos, asegúrese de que pasa el token con un formato válido. Si se trunca el token (o se aplica un formato de cadena incorrecto), el token no será válido.
`[ERROR] Failed to authenticate the connection request for user db_user because the token age is longer than 15 minutes. (Status Code: 400, Error Code:ExpiredToken)`	`IamDbAuthConnectionFailure` `IamDbAuthConnectionFailureInvalidToken`	El token de autenticación de bases de datos de IAM ha caducado. Los tokens solo son válidos durante 15 minutos.	Compruebe la lógica de almacenamiento en caché de tokens o de reutilización de tokens en la aplicación. No debe reutilizar tokens que tengan más de 15 minutos.
[ERROR] Failed to authorize the connection request for user db_user because the IAM policy assumed by the caller 'arn:aws:sts::123456789012:assumed-role/ <RoleName>/ <RoleSession>' is not authorized to perform `rds-db:connect` on the DB instance. (Status Code: 403, Error Code:NotAuthorized)	`IamDbAuthConnectionFailure` `IamDbAuthConnectionFailureInsufficientPermissions`	Este error es posible que se deba a las siguientes razones: La política de IAM que asume la aplicación no autoriza la acción `rds-db:connect`. Está asumiendo el rol o la política incorrectos para que `db_user` se conecte a la base de datos. Está asumiendo la política correcta para `db_user`, pero no se está conectando a la base de datos correcta.	Verifique el rol o la política de IAM que está asumiendo en la aplicación. Asegúrese de que asume la misma política para generar el token que para conectarse a la base de datos.
`[ERROR] Failed to authorize the connection request for user db_user due to IAM DB authentication throttling. (Status Code: 429, Error Code: ThrottlingException)`	`IamDbAuthConnectionFailure` `IamDbAuthConnectionFailureThrottling`	Está realizando demasiadas solicitudes de conexión a la base de datos en un corto período de tiempo. El límite de limitación de autenticación de bases de datos de IAM es de 200 conexiones por segundo.	Reduzca la velocidad de establecimiento de nuevas conexiones con la autenticación de IAM. Considere implementar la agrupación de conexiones mediante Proxy de RDS para reutilizar las conexiones establecidas en la aplicación.
`[ERROR] Failed to authorize the connection request for user db_user due to an internal IAM DB authentication error. (Status Code: 500, Error Code: InternalError)`	`IamDbAuthConnectionFailure` `IamDbAuthConnectionFailureThrottling`	Se ha producido un error interno al autorizar la conexión de la base de datos con la autenticación de bases de datos de IAM.	Póngase en contacto con https://aws.amazon.com/premiumsupport/ para investigar el problema.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Conexión mediante la autenticación IAM y el AWS SDK for Python (Boto3)

Solución de problemas

Seleccione sus preferencias de cookies

Personalizar preferencias de cookies

Esenciales

De rendimiento

Funcionales

De publicidad

No se pueden guardar las preferencias de cookies

Solución de problemas de autenticación de bases de datos de IAM

Exportación de registros de errores de autenticación de bases de datos de IAM a Registros de CloudWatch

Métricas de CloudWatch de autenticación de bases de datos de IAM

Problemas y soluciones comunes de

¿Le ha servido de ayuda esta página?

Tema siguiente:

Tema anterior:

¿Necesita ayuda?