Solucionar problemas referentes à autenticação de banco de dados do IAM - Amazon Aurora

Exportar logs de erros de autenticação de banco de dados do IAM Métricas de autenticação de banco de dados do IAM DB authentication Problemas e soluções

Solucionar problemas referentes à autenticação de banco de dados do IAM

A seguir, é possível encontrar ideias de solução de problemas para alguns problemas comuns de autenticação de banco de dados do IAM e informações sobre logs e métricas do CloudWatch para autenticação de banco de dados do IAM.

Exportar logs de erros de autenticação de banco de dados do IAM para o CloudWatch Logs

Os logs de erros de autenticação de banco de dados do IAM são armazenados no host do banco de dados e podem ser exportados para sua conta do CloudWatch Logs. Use os logs e os métodos de correção nesta página para solucionar problemas de autenticação de banco de dados do IAM.

Você pode habilitar as exportações de log para o CloudWatch Logs por meio do console, da AWS CLI e da API do RDS. Para obter instruções sobre o console, consulte Publicação de logs de banco de dados no Amazon CloudWatch Logs.

Para exportar logs de erros de autenticação de banco de dados do IAM para o CloudWatch Logs ao criar um cluster de banco de dados por meio da AWS CLI, use o seguinte comando:


aws rds create-db-cluster --db-cluster-identifier mydbinstance \
--region us-east-1 \
--engine postgres \
--engine-version 16 \
--master-username master \
--master-user-password password \
--publicly-accessible \
--enable-iam-database-authentication \
--enable-cloudwatch-logs-exports=iam-db-auth-error

Para exportar logs de erros de autenticação de banco de dados do IAM para o CloudWatch Logs ao modificar um cluster de banco de dados por meio da AWS CLI, use o seguinte comando:


aws rds modify-db-cluster --db-instance-identifier mydbcluster \
--region us-east-1 \
--cloudwatch-logs-export-configuration '{"EnableLogTypes":["iam-db-auth-error"]}'

Para verificar se o cluster de banco de dados está exportando logs de autenticação de banco de dados do IAM para o CloudWatch Logs, confira se o parâmetro EnabledCloudwatchLogsExports está definido como iam-db-auth-error na saída do comando describe-db-instances.


aws rds describe-db-cluster --region us-east-1 --db-cluster-identifier mydbcluster
            ...
            
             "EnabledCloudwatchLogsExports": [
                "iam-db-auth-error"
            ],
            ...

Métricas do CloudWatch de autenticação de banco de dados do IAM

O Amazon Aurora fornece métricas quase em tempo real sobre a autenticação de banco de dados do IAM para sua conta do Amazon CloudWatch. A seguinte tabela lista as métricas de autenticação de banco de dados do IAM disponíveis usando o CloudWatch:

Métrica	Descrição
`IamDbAuthConnectionRequests`	Número total de solicitações de conexão feitas com a autenticação de banco de dados do IAM.
`IamDbAuthConnectionSuccess`	Número total de solicitações de autenticação de banco de dados do IAM bem-sucedidas.
`IamDbAuthConnectionFailure`	Número total de solicitações de autenticação de banco de dados do IAM malsucedidas.
`IamDbAuthConnectionFailureInvalidToken`	Número total de solicitações de autenticação de banco de dados do IAM malsucedidas devido a token inválido.
`IamDbAuthConnectionFailureInsufficientPermissions`	Número total de solicitações de autenticação de banco de dados do IAM malsucedidas devido a políticas ou permissões incorretas.
`IamDbAuthConnectionFailureThrottling`	Número total de solicitações de autenticação de banco de dados do IAM malsucedidas devido ao controle de utilização da autenticação de banco de dados do IAM.
`IamDbAuthConnectionFailureServerError`	Número total de solicitações de autenticação de banco de dados do IAM malsucedidas devido a um erro interno do servidor no recurso de autenticação de banco de dados do IAM.

Problemas e soluções comuns de

Você pode encontrar os problemas a seguir ao usar a autenticação de banco de dados do IAM. Use as etapas de correção na tabela para resolver os problemas:

Erro	Métrica(s)	Causa	Solução
`[ERROR] Failed to authenticate the connection request for user db_user because the provided token is malformed or otherwise invalid. (Status Code: 400, Error Code: InvalidToken)`	`IamDbAuthConnectionFailure` `IamDbAuthConnectionFailureInvalidToken`	O token de autenticação de banco de dados do IAM na solicitação de conexão não é um token SigV4a válido ou não está formatado corretamente.	Verifique a estratégia de geração de tokens em sua aplicação. Em alguns casos, observe se você está passando o token com uma formatação válida. Truncar o token (ou formatar incorretamente a string) tornará o token inválido.
`[ERROR] Failed to authenticate the connection request for user db_user because the token age is longer than 15 minutes. (Status Code: 400, Error Code:ExpiredToken)`	`IamDbAuthConnectionFailure` `IamDbAuthConnectionFailureInvalidToken`	O token de autenticação de banco de dados do IAM expirou. Os tokens são válidos somente por 15 minutos.	Verifique a lógica de armazenamento em cache e/ou a reutilização de tokens em sua aplicação. Você não deve reutilizar tokens com mais de 15 minutos.
[ERROR] Failed to authorize the connection request for user db_user because the IAM policy assumed by the caller 'arn:aws:sts::123456789012:assumed-role/ <RoleName>/ <RoleSession>' is not authorized to perform `rds-db:connect` on the DB instance. (Status Code: 403, Error Code:NotAuthorized)	`IamDbAuthConnectionFailure` `IamDbAuthConnectionFailureInsufficientPermissions`	Esse erro pode ocorrer devido aos seguintes motivos: A política do IAM assumida pela aplicação não autoriza a ação `rds-db:connect`. Você está assumindo o perfil/política incorretos para `db_user` para se conectar ao banco de dados. Você está assumindo a política correta para `db_user`, mas não está se conectando ao banco de dados correto.	Verifique o perfil e/ou a política do IAM que você está assumindo em sua aplicação. Você deve assumir a mesma política para gerar o token e para se conectar ao banco de dados.
`[ERROR] Failed to authorize the connection request for user db_user due to IAM DB authentication throttling. (Status Code: 429, Error Code: ThrottlingException)`	`IamDbAuthConnectionFailure` `IamDbAuthConnectionFailureThrottling`	Você está fazendo muitas solicitações de conexão ao banco de dados em um curto espaço de tempo. O limite de controle de utilização da autenticação de banco de dados do IAM é duzentas conexões por segundo.	Reduza a taxa de estabelecimento de novas conexões por meio da autenticação do IAM. Considere implementar o agrupamento de conexões usando o RDS Proxy para reutilizar as conexões estabelecidas em sua aplicação.
`[ERROR] Failed to authorize the connection request for user db_user due to an internal IAM DB authentication error. (Status Code: 500, Error Code: InternalError)`	`IamDbAuthConnectionFailure` `IamDbAuthConnectionFailureThrottling`	Houve um erro interno ao autorizar a conexão do banco de dados com a autenticação de banco de dados do IAM.	Entre em contato com https://aws.amazon.com/premiumsupport/ para investigar o problema.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Conectar-se usando a autenticação do IAM e o AWS SDK for Python (Boto3)

Solução de problemas

Selecione suas preferências de cookies

Personalizar preferências de cookies

Essenciais

Desempenho

Funcionais

Publicidade

Não foi possível salvar as preferências de cookie

Solucionar problemas referentes à autenticação de banco de dados do IAM

Exportar logs de erros de autenticação de banco de dados do IAM para o CloudWatch Logs

Métricas do CloudWatch de autenticação de banco de dados do IAM

Problemas e soluções comuns de

Esta página foi útil?

Próximo tópico:

Tópico anterior:

Precisa de ajuda?