Con la autenticación de bases de datos de IAM, no es necesario asignar contraseñas de la base de datos a las cuentas de usuario creadas. Si quita un usuario asignado a una cuenta de base de datos, también debe quitar la cuenta de base de datos con la instrucción DROP USER.
nota
El nombre de usuario utilizado para la autenticación de IAM debe coincidir con el nombre de usuario en la base de datos.
Temas
Uso de la autenticación de IAM con MariaDB y MySQL
Con MariaDB y MySQL, AWSAuthenticationPlugin gestiona la autenticación. Se trata de un complemento proporcionado por AWS que funciona perfectamente con IAM para autenticar a sus usuarios. Conecte al de instancias de base de datos como usuario maestro o como usuario diferente que pueda crear usuarios y conceder privilegios. Tras la conexión, lance la instrucción CREATE USER, tal como se muestra en el siguiente ejemplo.
CREATE USER 'jane_doe' IDENTIFIED WITH AWSAuthenticationPlugin AS 'RDS';
La cláusula IDENTIFIED WITH permite que MariaDB y MySQL usen AWSAuthenticationPlugin para autenticar la cuenta de base de datos (jane_doe). La cláusula de AS 'RDS' hace referencia al método de autenticación. Asegúrese de que el nombre de usuario de la base de datos especificado sea igual a un recurso de la política de IAM para el acceso a la base de datos de IAM. Para obtener más información, consulte Creación y uso de una política de IAM para el acceso a bases de datos de IAM.
nota
Si ve el siguiente mensaje, significa que el complemento proporcionado por AWS no está disponible para la instanciay actual.
ERROR 1524 (HY000): Plugin 'AWSAuthenticationPlugin' is not
loaded
Para identificar este error, verifique que usa una configuración admitida y que ha habilitado la autenticación de bases de datos de IAM en su instancia. Para obtener más información, consulte Disponibilidad en regiones y versiones y Activación y desactivación de la autenticación de bases de datos de IAM.
Después de crear una cuenta mediante AWSAuthenticationPlugin, puede administrarla de la misma forma que otras cuentas de base de datos. Por ejemplo, puede modificar los privilegios de cuenta con las instrucciones GRANT y REVOKE, o bien modificar diversos atributos de cuenta con la instrucción ALTER USER.
El tráfico de la red de la base de datos se cifra mediante SSL/TLS cuando se utiliza IAM. Para permitir las conexiones SSL, modifique la cuenta de usuario con el siguiente comando.
ALTER USER 'jane_doe'@'%' REQUIRE SSL;
Uso de la autenticación de IAM con PostgreSQL
Para usar la autenticación de IAM con PostgreSQL, conéctese a la instancia de base de datos como usuario maestro o como usuario diferente que pueda crear usuarios y conceder privilegios. Tras la conexión, cree usuarios de base de datos y, a continuación, concédales el rol rds_iam tal como se muestra en el siguiente ejemplo.
CREATE USER db_userx;
GRANT rds_iam TO db_userx;Asegúrese de que el nombre de usuario de la base de datos especificado sea igual a un recurso de la política de IAM para el acceso a la base de datos de IAM. Para obtener más información, consulte Creación y uso de una política de IAM para el acceso a bases de datos de IAM. Debe conceder el rol rds_iam para utilizar la autenticación de IAM. También puede utilizar suscripciones anidadas o concesiones indirectas del rol.
