# Activación y desactivación de la autenticación de bases de datos de IAM
<a name="UsingWithRDS.IAMDBAuth.Enabling"></a>

De forma predeterminada, la autenticación de bases de datos de IAM está deshabilitada en las instancias de base de datos. Puede activar o desactivar la autenticación de bases de datos de IAM mediante la Consola de administración de AWS, la AWS CLI o la API.

Puede habilitar la autenticación de base de datos de IAM cuando realice una de las siguientes acciones:
+ Para crear una nueva instancia de base de datos con la autenticación de base de datos de IAM activada, consulte [Creación de una instancia de base de datos de Amazon RDS](USER_CreateDBInstance.md).
+ Para modificar una instancia de base de datos para activar la autenticación de base de datos de IAM, consulte [Modificación de una instancia de base de datos de Amazon RDS](Overview.DBInstance.Modifying.md).
+ Para restaurar una instancia de bases de datos a partir de una instantánea con la autenticación de base de datos de IAM activada, consulte [Restauración a una instancia de base de datos](USER_RestoreFromSnapshot.md).
+ Para restaurar una instancia de base de datos a un momento dado con la autenticación de base de datos de IAM habilitada, consulte [Restauración de una instancia de base de datos a un momento especificado para Amazon RDS](USER_PIT.md).

## Consola
<a name="UsingWithRDS.IAMDBAuth.Enabling.Console"></a>

Cada flujo de trabajo de creación o modificación tiene una sección **Database authentication (Autenticación de base de datos)**, donde puede activar o desactivar la autenticación de base de datos de IAM. En esa sección, elija **Password and IAM database authentication (Autenticación de bases de datos con contraseña e IAM)** para activar la autenticación de base de datos de IAM.

**Para activar o desactivar la autenticación de IAM para una instancia existente**

1. Abra la consola de Amazon RDS en [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).

1. En el panel de navegación, seleccione **Databases (Bases de datos)**.

1. Elija la instancia que desea modificar.
**nota**  
 Asegúrese de que la instancia de base de datos sea compatible con la autenticación de IAM. Compruebe los requisitos de compatibilidad en [Disponibilidad en regiones y versiones](UsingWithRDS.IAMDBAuth.md#UsingWithRDS.IAMDBAuth.Availability).

1. Elija **Modify**.

1. En la sección **Autenticación de base de datos**, elija **Autenticación de bases de datos de contraseña e IAM** para habilitar la autenticación de bases de datos de IAM. Elija **Autenticación con contraseña** o **Contraseña y autenticación Kerberos** para deshabilitar la autenticación de IAM.

1. También puede elegir habilitar la publicación de registros de autenticación de bases de datos de IAM en Registros de CloudWatch. En **Exportaciones de registros**, elija la opción **registro iam-db-auth-error**. La publicación de los registros en Registros de CloudWatch consume almacenamiento y se generan cargos por dicho almacenamiento. Asegúrese de eliminar los Registros de CloudWatch que ya no necesite.

1. Elija **Continue**.

1. Para aplicar los cambios inmediatamente, elija **Immediately (Inmediatamente)** en la sección **Scheduling of modifications (Programación de modificaciones)**.

1. Elija **Modify DB instance (Modificar instancia de base de datos)** .

## AWS CLI
<a name="UsingWithRDS.IAMDBAuth.Enabling.CLI"></a>

Para crear una instancia de base de datos nueva con la autenticación de IAM mediante la AWS CLI, use el comando [https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html](https://docs.aws.amazon.com/cli/latest/reference/rds/create-db-instance.html). Especifique la opción `--enable-iam-database-authentication`, como se muestra en el siguiente ejemplo.

```
aws rds create-db-instance \
    --db-instance-identifier mydbinstance \
    --db-instance-class db.m3.medium \
    --engine MySQL \
    --allocated-storage 20 \
    --master-username masterawsuser \
    --manage-master-user-password \
    --enable-iam-database-authentication
```

Para actualizar una instancia de base de datos existente para que tenga o no tenga autenticación de IAM, utilice el comando [AWS CLI](https://docs.aws.amazon.com/cli/latest/reference/rds/modify-db-instance.html) de la `modify-db-instance`. Especifique la opción `--enable-iam-database-authentication` o `--no-enable-iam-database-authentication`, como proceda.

**nota**  
 Asegúrese de que la instancia de base de datos sea compatible con la autenticación de IAM. Compruebe los requisitos de compatibilidad en [Disponibilidad en regiones y versiones](UsingWithRDS.IAMDBAuth.md#UsingWithRDS.IAMDBAuth.Availability).

De forma predeterminada, Amazon RDS realiza la modificación durante el siguiente periodo de mantenimiento. Si desea invalidar esto y habilitar la autenticación de bases de datos de IAM lo antes posible, use el parámetro `--apply-immediately`. 

En el siguiente ejemplo se muestra cómo habilitar inmediatamente la autenticación de IAM para una instancia de base de datos existente.

```
aws rds modify-db-instance \
    --db-instance-identifier mydbinstance \
    --apply-immediately \
    --enable-iam-database-authentication
```

Si restaura una instancia, use uno de los siguientes comandos de AWS CLI:
+ `[restore-db-instance-to-point-in-time](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-to-point-in-time.html)`
+ `[restore-db-instance-from-db-snapshot](https://docs.aws.amazon.com/cli/latest/reference/rds/restore-db-instance-from-db-snapshot.html)`

De forma predeterminada, la configuración de la autenticación de bases de datos de IAM será la de la instantánea de origen. Para cambiar esta configuración, establezca la opción `--enable-iam-database-authentication` o `--no-enable-iam-database-authentication`, como proceda.

## API de RDS
<a name="UsingWithRDS.IAMDBAuth.Enabling.API"></a>

Para crear una instancia de base de datos nueva con la autenticación de IAM mediante la API, use la operación de la API [https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_CreateDBInstance.html). Defina el parámetro `EnableIAMDatabaseAuthentication` como `true`.

Para actualizar una instancia de base de datos existente para que tenga o no tenga autenticación de IAM, utilice la operación de la API [https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_ModifyDBInstance.html). Establezca el parámetro `EnableIAMDatabaseAuthentication` en `true` para habilitar la autenticación de IAM o en `false` para deshabilitarla.

**nota**  
 Asegúrese de que la instancia de base de datos sea compatible con la autenticación de IAM. Compruebe los requisitos de compatibilidad en [Disponibilidad en regiones y versiones](UsingWithRDS.IAMDBAuth.md#UsingWithRDS.IAMDBAuth.Availability).

Si restaura una instancia, use una de las siguientes operaciones de la API:
+ [https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromDBSnapshot.html](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceFromDBSnapshot.html)
+  [https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceToPointInTime.html](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_RestoreDBInstanceToPointInTime.html)

De forma predeterminada, la configuración de la autenticación de bases de datos de IAM será la de la instantánea de origen. Para cambiar esta configuración, establezca el parámetro `EnableIAMDatabaseAuthentication` en `true` para habilitar la autenticación de IAM o `false` para deshabilitarla.