# Configuración de roles de IAM para acceder a servicios de AWS
Para permitir el acceso de un clúster de base de datos de Aurora a otro servicio de AWS, haga lo siguiente:
1. Cree una política de IAM que otorgue permiso al servicio de AWS. Para obtener más información, consulte los siguientes temas.
+ [Creación de una política de IAM para acceder a los recursos de Amazon S3](AuroraMySQL.Integrating.Authorizing.IAM.S3CreatePolicy.md)
+ [Creación de una política de IAM para acceder a los recursos de AWS Lambda](AuroraMySQL.Integrating.Authorizing.IAM.LambdaCreatePolicy.md)
+ [Creación de una política de IAM para acceder a los recursos de CloudWatch Logs](AuroraMySQL.Integrating.Authorizing.IAM.CWCreatePolicy.md)
+ [Creación de una política de IAM para acceder a los recursos de AWS KMS](AuroraMySQL.Integrating.Authorizing.IAM.KMSCreatePolicy.md)
1. Cree un rol de IAM y adjúntele la política que ha creado. Para obtener más información, consulte [Creación de un rol de IAM que permita a Amazon Aurora acceder a los servicios de AWS](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md).
1. Asocie el rol de IAM al clúster de base de datos Aurora. Para obtener más información, consulte [Asociación de un rol de IAM con un clúster de base de datos Amazon Aurora MySQL](AuroraMySQL.Integrating.Authorizing.IAM.AddRoleToDBCluster.md).
# Creación de una política de IAM para acceder a los recursos de Amazon S3
Aurora puede tener acceso a recursos de Amazon S3 para cargar datos o para guardar datos desde un clúster de base de datos Aurora. Sin embargo, primero debe crear una política de IAM que asigne los permisos de bucket y objeto que hacen posible el acceso de Aurora a Amazon S3.
La tabla siguiente indica las características de Aurora con acceso a un bucket de Amazon S3 en su nombre y los permisos de bucket y objeto mínimos requeridos por cada una.
| Característica | Permisos de bucket | Permisos de objeto |
| --- | --- | --- |
| `LOAD DATA FROM S3` | `ListBucket` | `GetObject` `GetObjectVersion` |
| LOAD XML FROM S3 | `ListBucket` | `GetObject` `GetObjectVersion` |
| `SELECT INTO OUTFILE S3` | `ListBucket` | `AbortMultipartUpload` `DeleteObject` `GetObject` `ListMultipartUploadParts` `PutObject` |
La siguiente política agrega los permisos que podría requerir Aurora para acceder a un bucket de Amazon S3 en su nombre.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAuroraToExampleBucket",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:AbortMultipartUpload",
"s3:ListBucket",
"s3:DeleteObject",
"s3:GetObjectVersion",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket/*",
"arn:aws:s3:::amzn-s3-demo-bucket"
]
}
]
}
```
------
**nota**
Asegúrese de incluir las dos entradas para el valor `Resource`. Aurora necesita los permisos tanto en el propio bucket como en todos los objetos dentro del bucket.
Según su caso de uso, es posible que no necesite agregar todos los permisos en la política de ejemplo. Es posible que se requieran otros permisos. Por ejemplo, si su bucket de Amazon S3 está cifrado, debe añadir permisos `kms:Decrypt`.
Puede seguir los pasos indicados a continuación para crear una política de IAM que otorgue los permisos mínimos necesarios para que Aurora tenga acceso a un bucket de Amazon S3 en su nombre. Para permitir el acceso de Aurora a todos los buckets de Amazon S3 puede omitir estos pasos y usar la política de IAM predefinida `AmazonS3ReadOnlyAccess` o `AmazonS3FullAccess` en lugar de crear la suya propia.
**Para crear una política de IAM para dar acceso a los recursos de Amazon S3**
1. Abra la [Management Console de IAM](https://console.aws.amazon.com/iam/home?#home).
1. En el panel de navegación, seleccione **Policies (Políticas)**.
1. Elija **Create Policy**.
1. En la pestaña **Visual editor (Editor visual)**, seleccione **Choose a service (Elegir un servicio)** y, a continuación, **S3**.
1. Elija **Expand all (Ampliar todo)** en **Actions (Acciones)** y, a continuación, elija los permisos de bucket y permisos de objeto necesarios para la política de IAM.
Los permisos de objeto se refieren a las operaciones de objeto en Amazon S3 y deben concederse para los objetos de un bucket, y no para el bucket en sí. Para obtener más información acerca de los permisos para operaciones de objeto en Amazon S3, consulte [Permisos para operaciones de objetos](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-with-s3-actions.html#using-with-s3-actions-related-to-objects).
1. Elija **Resources (Recursos)** y **Add ARN (Añadir ARN)** para **bucket**.
1. En el cuadro de diálogo **Add ARN(s) (Añadir ARN)**, proporcione los detalles acerca de su recurso y elija **Add (Añadir)**.
Especifique el bucket de Amazon S3 al que se permitirá obtener acceso. Por ejemplo, si desea conceder a Aurora acceso al bucket de Amazon S3 llamado *amzn-s3-demo-bucket*, establezca el valor de Nombre de recurso de Amazon (ARN) en `arn:aws:s3:::amzn-s3-demo-bucket`.
1. Si se lista el recurso **object (objeto)**, elija **Add ARN (Añadir ARN)** para **object (objeto)**.
1. En el cuadro de diálogo **Add ARN(s) (Añadir ARN)**, proporcione los detalles acerca de su recurso.
Para el bucket de Amazon S3, especifique el bucket de Amazon S3 al que se permitirá obtener acceso. Para el objeto, puede elegir **Any (Cualquiera)** para conceder permisos a cualquier objeto del bucket.
**nota**
Puede establecer en **Nombre de recurso de Amazon (ARN)** un valor de ARN más específico y que así Aurora solo tenga acceso a archivos o carpetas determinados de un bucket de Amazon S3. Para obtener más información acerca del modo de definir una política de acceso en Amazon S3, consulte [Administración de permisos de acceso para los recursos de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/s3-access-control.html).
1. (Opcional) Elija **Add ARN (Agregar ARN)** para el **bucket** para agregar otro bucket de Amazon S3 a la política y repita los pasos anteriores para el bucket.
**nota**
Puede repetir esto para añadir las instrucciones de permisos de bucket correspondientes a la política para cada bucket de Amazon S3 al que deba obtener acceso Aurora. Opcionalmente, también puede conceder acceso a todos los buckets y objetos de Amazon S3.
1. Elija **Review policy (Revisar política)**.
1. En **Name (Nombre)**, escriba un nombre para la política de IAM, por ejemplo, `AllowAuroraToExampleBucket`. Utilizará este nombre al crear un rol de IAM y asociarlo al clúster de base de datos Aurora. También puede añadir una descripción opcional en **Description (Descripción)**.
1. Elija **Create Policy**.
1. Realice los pasos que se indican en [Creación de un rol de IAM que permita a Amazon Aurora acceder a los servicios de AWS](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md).
# Creación de una política de IAM para acceder a los recursos de AWS Lambda
Puede crear una política de IAM que conceda los permisos mínimos necesarios para que Aurora invoque una función de AWS Lambda en su nombre.
La política siguiente agrega los permisos que requiere Aurora para invocar una función de AWS Lambda en su nombre.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAuroraToExampleFunction",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:us-east-1:123456789012:function:example_function"
}
]
}
```
------
Puede seguir los pasos indicados a continuación para crear una política de IAM que conceda los permisos mínimos necesarios para que Aurora invoque una función de AWS Lambda en su nombre. Para permitir que Aurora invoque todas las funciones de AWS Lambda puede omitir estos pasos y usar la política predefinida de `AWSLambdaRole` en lugar de crear la suya propia.
**Para crear una política de IAM que permita invocar las funciones de AWS Lambda**
1. Abra la [consola de IAM](https://console.aws.amazon.com/iam/home?#home).
1. En el panel de navegación, seleccione **Policies**.
1. Elija **Create Policy**.
1. En la pestaña **Visual editor (Editor visual)**, seleccione **Choose a service (Elegir un servicio)** y, a continuación, **Lambda**.
1. Elija **Expand all (Ampliar todo)** en **Actions (Acciones)** y, a continuación, elija los permisos de AWS Lambda necesarios para la política de IAM.
Asegúrese de que `InvokeFunction` está seleccionado. Es el permiso mínimo necesario para habilitar a Amazon Aurora invocar una función de AWS Lambda.
1. Elija **Recursos** y **Add ARN (Añadir ARN)** para **función**.
1. En el cuadro de diálogo **Add ARN(s) (Añadir ARN)**, proporcione los detalles acerca de su recurso.
Especifique la función de Lambda a la que se permitirá obtener acceso. Por ejemplo, si desea conceder a Aurora acceso a una función de Lambda llamada `example_function`, establezca como valor de ARN `arn:aws:lambda:::function:example_function`.
Para obtener más información acerca del modo de definir una política de acceso para AWS Lambda, consulte [Autenticación y control de acceso de AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-auth-and-access-control.html).
1. De forma opcional, elija **Add additional permissions (Añadir permisos adicionales)** para añadir otra función de AWS Lambda a la directiva y repita los pasos anteriores para la función.
**nota**
Puede repetir esto para agregar las sentencias de permisos de función correspondientes a la política para cada función de AWS Lambda a la que deba acceder Aurora.
1. Elija **Review policy (Revisar política)**.
1. En **Nombre**, escriba un nombre para la política de IAM, por ejemplo, `AllowAuroraToExampleFunction`. Utilizará este nombre al crear un rol de IAM y asociarlo al clúster de base de datos Aurora. También puede añadir una descripción opcional en **Description (Descripción)**.
1. Elija **Create Policy**.
1. Realice los pasos que se indican en [Creación de un rol de IAM que permita a Amazon Aurora acceder a los servicios de AWS](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md).
# Creación de una política de IAM para acceder a los recursos de CloudWatch Logs
Aurora puede acceder a CloudWatch Logs para exportar datos de registros de auditoría desde un clúster de base de datos Aurora. Sin embargo, primero debe crear una política de IAM que asigne los permisos de grupo de registros y flujo de registros que hacen posible que Aurora acceda a CloudWatch Logs.
La siguiente política agrega los permisos que requiere Aurora para acceder a Amazon CloudWatch Logs en su nombre y el número mínimo de permisos necesarios para crear grupos de registros y exportar datos.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "EnableCreationAndManagementOfRDSCloudwatchLogEvents",
"Effect": "Allow",
"Action": [
"logs:GetLogEvents",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*:log-stream:*"
},
{
"Sid": "EnableCreationAndManagementOfRDSCloudwatchLogGroupsAndStreams",
"Effect": "Allow",
"Action": [
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:PutRetentionPolicy",
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/rds/*"
}
]
}
```
------
Puede modificar los ARN de la política para restringir el acceso a una región y cuenta de AWS específicas.
Puede seguir los pasos indicados a continuación para crear una política de IAM que otorgue los permisos mínimos necesarios para que Aurora tenga acceso a CloudWatch Logs en su nombre. Para conceder acceso total de Aurora a CloudWatch Logs puede omitir estos pasos y usar la política de IAM predefinida `CloudWatchLogsFullAccess` en lugar de crear la suya propia. Para obtener más información, consulte [Uso de políticas basadas en identidad (políticas de IAM) para CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/iam-identity-based-access-control-cwl.html#managed-policies-cwl) en la* Guía del usuario de Amazon CloudWatch.*
**Para crear una política de IAM para dar acceso a los recursos de CloudWatch Logs**
1. Abra la [consola de IAM](https://console.aws.amazon.com/iam/home?#home).
1. En el panel de navegación, seleccione **Policies**.
1. Elija **Create Policy**.
1. En la pestaña **Visual editor (Editor visual)**, elija **Choose a service (Elegir un servicio)** y, a continuación, **CloudWatch Logs**.
1. Para **Actions (Acciones)**, elija **Expand all (Expandir todo)** (a la derecha) y, a continuación, elija los permisos de Amazon CloudWatch Logs necesarios para la política de IAM.
Compruebe que los permisos siguientes estén seleccionados:
+ `CreateLogGroup`
+ `CreateLogStream`
+ `DescribeLogStreams`
+ `GetLogEvents`
+ `PutLogEvents`
+ `PutRetentionPolicy`
1. Elija **Resources (Recursos)** y **Add ARN (Añadir ARN)** para **log-group**.
1. En el cuadro de diálogo **Add ARN(s) (Añadir ARN)**, escriba los siguientes valores:
+ **Región**: una región de AWS o `*`
+ **Account (Cuenta)**: un número de cuenta o `*`
+ **Log Group Name (Nombre del grupo de registro** – `/aws/rds/*`
1. En el cuadro de diálogo **Add ARN(s) (Agregar ARN)**, elija **Add (Agregar)**.
1. Elija **Add ARN (Añadir ARN)** para **log-stream**.
1. En el cuadro de diálogo **Add ARN(s) (Añadir ARN)**, escriba los siguientes valores:
+ **Región**: una región de AWS o `*`
+ **Account (Cuenta)**: un número de cuenta o `*`
+ **Log Group Name (Nombre del grupo de registro** – `/aws/rds/*`
+ **Log Stream Name (Nombre del flujo de registro** – `*`
1. En el cuadro de diálogo **Add ARN(s) (Agregar ARN)**, elija **Add (Agregar)**.
1. Elija **Review policy (Revisar política)**.
1. En **Nombre**, escriba un nombre para la política de IAM, por ejemplo, `AmazonRDSCloudWatchLogs`. Utilizará este nombre al crear un rol de IAM y asociarlo al clúster de base de datos Aurora. También puede añadir una descripción opcional en **Description (Descripción)**.
1. Elija **Create Policy**.
1. Realice los pasos que se indican en [Creación de un rol de IAM que permita a Amazon Aurora acceder a los servicios de AWS](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md).
# Creación de una política de IAM para acceder a los recursos de AWS KMS
Aurora puede obtener acceso a las AWS KMS keys utilizadas para cifrar sus copias de seguridad de bases de datos. Sin embargo, primero debe crear una política de IAM que asigne los permisos que hacen posible que Aurora obtenga acceso a las claves de KMS.
La política siguiente añade los permisos que requiere Aurora para obtener acceso a las claves de KMS en su nombre.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAuroraToAccessKey",
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:us-east-1:123456789012:key/key-ID"
}
]
}
```
------
Puede seguir los pasos indicados a continuación para crear una política de IAM que otorgue los permisos mínimos necesarios para que Aurora tenga acceso a las claves de KMS en su nombre.
**Para crear una política de IAM para conceder acceso a sus claves de KMS**
1. Abra la [consola de IAM](https://console.aws.amazon.com/iam/home?#home).
1. En el panel de navegación, seleccione **Policies**.
1. Elija **Create Policy**.
1. En la pestaña **Visual editor (Editor visual)**, seleccione **Choose a service (Elegir un servicio)** y, a continuación, **KMS**.
1. En **Actions (Acciones)**, elija **Write (Escritura)** y después elija **Decrypt (Descifrar)**.
1. Elija **Resources (Recursos)** y después **Add ARN (Añadir ARN)**.
1. En el cuadro de diálogo **Add ARN(s) (Añadir ARN)**, escriba los siguientes valores:
+ **Región**: especifique la región de AWS, como `us-west-2`.
+ **Cuenta**: especifique el número de cuenta de usuario.
+ **Nombre del flujo de registros**: escriba el identificador de la clave de KMS.
1. En el cuadro de diálogo **Add ARN(s) (Agregar ARN)**, elija **Add (Agregar)**.
1. Elija **Review policy (Revisar política)**.
1. En **Nombre**, escriba un nombre para la política de IAM, por ejemplo, `AmazonRDSKMSKey`. Utilizará este nombre al crear un rol de IAM y asociarlo al clúster de base de datos Aurora. También puede añadir una descripción opcional en **Description (Descripción)**.
1. Elija **Create Policy**.
1. Realice los pasos que se indican en [Creación de un rol de IAM que permita a Amazon Aurora acceder a los servicios de AWS](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md).
# Creación de un rol de IAM que permita a Amazon Aurora acceder a los servicios de AWS
Una vez creada una política de IAM para permitir a Aurora el acceso a recursos de AWS debe crear un rol de IAM y asociarle la política de IAM.
Para crear un rol de IAM que permita al clúster de Amazon RDS comunicarse con otros servicios de AWS en su nombre, siga estos pasos.
**Crear un rol de IAM que permita a Amazon RDS el acceso a los servicios de AWS**
1. Abra la [consola de IAM](https://console.aws.amazon.com/iam/home?#home).
1. Seleccione **Roles** en el panel de navegación.
1. Elija **Create role**.
1. En **Servicio de AWS**, elija **RDS**.
1. En **Select your use case (Seleccionar su caso de uso)**, elija **RDS: Add Role to Database (RDS: Añadir rol a base de datos)**.
1. Elija **Siguiente**.
1. En la página **Permissions policies** (Políticas de permisos), introduzca el nombre de su política en el campo **Search** (Buscar).
1. Cuando aparezca en la lista, seleccione la política que ha definido anteriormente siguiendo las instrucciones de alguna de las siguientes secciones:
+ [Creación de una política de IAM para acceder a los recursos de Amazon S3](AuroraMySQL.Integrating.Authorizing.IAM.S3CreatePolicy.md)
+ [Creación de una política de IAM para acceder a los recursos de AWS Lambda](AuroraMySQL.Integrating.Authorizing.IAM.LambdaCreatePolicy.md)
+ [Creación de una política de IAM para acceder a los recursos de CloudWatch Logs](AuroraMySQL.Integrating.Authorizing.IAM.CWCreatePolicy.md)
+ [Creación de una política de IAM para acceder a los recursos de AWS KMS](AuroraMySQL.Integrating.Authorizing.IAM.KMSCreatePolicy.md)
1. Elija **Siguiente**.
1. En **Role Name (Nombre del rol)**, escriba un nombre para el rol de IAM, por ejemplo, `RDSLoadFromS3`. También puede añadir una descripción opcional en **Description (Descripción)**.
1. Elija **Create Role (Crear rol)**.
1. Realice los pasos que se indican en [Asociación de un rol de IAM con un clúster de base de datos Amazon Aurora MySQL](AuroraMySQL.Integrating.Authorizing.IAM.AddRoleToDBCluster.md).
# Asociación de un rol de IAM con un clúster de base de datos Amazon Aurora MySQL
Para permitir a los usuarios de una base de datos en un clúster de base de datos de Amazon Aurora acceder a otros servicios de AWS, debe asociar el rol de IAM que creó en [Creación de un rol de IAM que permita a Amazon Aurora acceder a los servicios de AWS](AuroraMySQL.Integrating.Authorizing.IAM.CreateRole.md) con ese clúster de base de datos. También puedehacer que AWS cree un nuevo rol de IAM asociando el servicio directamente.
**nota**
No se puede asociar un rol de IAM a un clúster de base de datos de Aurora Serverless v1. Para obtener más información, consulte [Uso de Amazon Aurora Serverless v1](aurora-serverless.md).
Se puede asociar un rol de IAM a un clúster de base de datos de Aurora Serverless v2.
Para asociar un rol de IAM con un clúster de base de datos es necesario hacer dos cosas:
1. Añadir el rol a la lista de roles asociados del clúster de base de datos con la consola de RDS, el comando [add-role-to-db-cluster](https://docs.aws.amazon.com/cli/latest/reference/rds/add-role-to-db-cluster.html) de la AWS CLI o la operación [AddRoleToDBCluster](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_AddRoleToDBCluster.html) de la API de RDS.
Puede añadir un máximo de cinco roles de IAM por cada clúster de base de datos Aurora.
1. Establecer el ARN del rol de IAM asociado en el parámetro a nivel de clúster para el servicio de AWS de que se trate.
En la tabla siguiente se indican los nombres de los parámetros a nivel de clúster para los roles de IAM empleados en el acceso a otros servicios de AWS.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Integrating.Authorizing.IAM.AddRoleToDBCluster.html)
Para asociar un rol de IAM que permita al clúster de Amazon RDS comunicarse con otros servicios de AWS en su nombre, siga estos pasos.
## Consola
**Para asociar un rol de IAM a un clúster de base de datos Aurora con la consola**
1. Abra la consola de RDS en [https://console.aws.amazon.com/rds/](https://console.aws.amazon.com/rds/).
1. Seleccione **Databases (Bases de datos)**.
1. Elija el nombre del clúster de base de datos de Aurora al que desea asociar un rol de IAM para mostrar sus detalles.
1. En la pestaña **Connectivity & security** (Conectividad y seguridad), en la sección **Manage IAM roles** (Administrar roles de IAM), realice una de las siguientes acciones:
+ **Select IAM roles to add to this cluster** (Seleccionar roles de IAM que desea agregar a este clúster) (predeterminado)
+ **Select a service to connect to this cluster** (Seleccionar un servicio para conectarse a este clúster)
![\[Asociar un rol de IAM con un clúster de base de datos\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/AuroraUserGuide/images/AuroraAssociateIAMRole-02.png)
1. Para usar un rol de IAM existente, selecciónelo en el menú y, a continuación, seleccione **Add role** (Añadir rol).
Si se agrega el rol correctamente, su estado se muestra como `Pending`, luego como `Available`.
1. Para conectar un servicio directamente:
1. Elija **Select a service to connect to this cluster** (Seleccionar un servicio para conectarse a este clúster).
1. Elija el servicio en el menú y, a continuación, seleccione **Connect service** (Conectar servicio).
1. Para **Connect cluster to *Service Name*** (Conectar clúster a nombre de servicio), introduzca el Nombre de recurso de Amazon (ARN) que se utilizará para conectarse al servicio y, a continuación, seleccione **Connect service** (Conectar servicio).
AWS crea un nuevo rol de IAM para conectarse al servicio. Su estado se muestra como `Pending`, luego como `Available`.
1. (Opcional) Para dejar de asociar un rol de IAM a un clúster de base de datos y retirarle el permiso correspondiente, elija el rol y luego **Delete (Eliminar)**.
**Establezca el parámetro de nivel de clúster para cada rol de IAM asociado.**
1. En la consola de RDS, elija **Parameter groups (Grupos de parámetros)** en el panel de navegación.
1. Si ya está usando un grupo de parámetros de base de datos personalizado, puede seleccionarlo para usarlo en lugar de crear uno nuevo. Si utiliza el grupo de parámetros de clúster de base de datos predeterminado, cree un nuevo grupo de parámetros de clúster de base de datos como se describe en los pasos siguientes:
1. Elija **Create parameter group**.
1. En **Familia de grupo de parámetros**, elija `aurora-mysql8.0` para un clúster de base de datos compatible con Aurora MySQL 8.0 o `aurora-mysql5.7` para un clúster de base de datos compatible con Aurora MySQL 5.7.
1. En **Type (Tipo)**, elija **DB Cluster Parameter Group (Grupo de parámetros de clúster de base de datos)**.
1. Para **Nombre de grupo**, escriba el nombre del nuevo grupo de parámetros de clúster de base de datos.
1. En **Descripción**, escriba una descripción del nuevo grupo de parámetros de clúster de base de datos.
![\[Crear un grupo de parámetros de clúster de base de datos\]](http://docs.aws.amazon.com/es_es/AmazonRDS/latest/AuroraUserGuide/images/AuroraAssociateIAMRole-03.png)
1. Seleccione **Create (Crear)**.
1. En la página **Parameter groups (Grupos de parámetros)**, seleccione su grupo de parámetros de clúster de base de datos y elija **Edit (Editar)** en **Parameter group actions (Acciones de grupos de parámetros)**.
1. Establezca los [parámetros](#aurora_cluster_params_iam_roles) a nivel de clúster adecuados en los valores de ARN de rol de IAM correspondientes.
Por ejemplo, puede establecer solo en el parámetro `aws_default_s3_role` el valor `arn:aws:iam::123456789012:role/AllowS3Access`.
1. Elija **Save changes**.
1. Para cambiar el grupo de parámetros del clúster de base de datos para su clúster de base de datos, realice los siguientes pasos:
1. Elija **Databases** (Bases de datos) y, a continuación, seleccione el clúster de base de datos de Aurora.
1. Elija **Modify**.
1. Desplácese hasta **Database options** (Opciones de base de datos) y establezca en **DB cluster parameter group** (Grupo de parámetros de clúster de base de datos) el grupo de parámetros de clúster de base de datos.
1. Elija **Continue**.
1. Verifique los cambios y elija **Apply immediately (Aplicar inmediatamente)**.
1. Elija **Modify Cluster (Modificar clúster)**.
1. Elija **Databases** (Bases de datos) y, a continuación, seleccione la instancia principal del clúster de base de datos.
1. Para **Actions (Acciones)**, elija **Reboot (Reiniciar)**.
Una vez reiniciada la instancia, el rol de IAM se asocia al clúster de base de datos.
Para obtener más información acerca de los grupos de parámetros de clúster, consulte [Parámetros de configuración de Aurora MySQL](AuroraMySQL.Reference.ParameterGroups.md).
## CLI
**Para asociar un rol de IAM a un clúster de base de datos con la AWS CLI**
1. Ejecute el comando `add-role-to-db-cluster` desde la AWS CLI para añadir los ARN de los roles de IAM al clúster de base de datos, como se muestra a continuación.
```
PROMPT> aws rds add-role-to-db-cluster --db-cluster-identifier my-cluster --role-arn arn:aws:iam::123456789012:role/AllowAuroraS3Role
PROMPT> aws rds add-role-to-db-cluster --db-cluster-identifier my-cluster --role-arn arn:aws:iam::123456789012:role/AllowAuroraLambdaRole
```
1. Si utiliza el grupo de parámetros de clúster de base de datos predeterminado, cree un nuevo grupo de parámetros de clúster de base de datos. Si ya está usando un grupo de parámetros de base de datos personalizado, puede usarlo en lugar de crear uno nuevo.
Para crear un nuevo grupo de parámetros de clúster de base de datos, ejecute el comando `create-db-cluster-parameter-group` desde la AWS CLI, como se muestra a continuación.
```
PROMPT> aws rds create-db-cluster-parameter-group --db-cluster-parameter-group-name AllowAWSAccess \
--db-parameter-group-family aurora5.7 --description "Allow access to Amazon S3 and AWS Lambda"
```
En el caso de un clúster de base de datos compatible con Aurora MySQL 5.7, especifique `aurora-mysql5.7` para `--db-parameter-group-family`. En el caso de un clúster de base de datos compatible con Aurora MySQL 8.0, especifique `aurora-mysql8.0` para `--db-parameter-group-family`.
1. Configure el parámetro o parámetros adecuados a nivel de clúster y los valores de ARN de rol de IAM correspondientes dentro del grupo de parámetros de clúster de base de datos, como se muestra a continuación.
```
PROMPT> aws rds modify-db-cluster-parameter-group --db-cluster-parameter-group-name AllowAWSAccess \
--parameters "ParameterName=aws_default_s3_role,ParameterValue=arn:aws:iam::123456789012:role/AllowAuroraS3Role,method=pending-reboot" \
--parameters "ParameterName=aws_default_lambda_role,ParameterValue=arn:aws:iam::123456789012:role/AllowAuroraLambdaRole,method=pending-reboot"
```
1. Modifique el clúster de base de datos de modo que use el nuevo grupo de parámetros de clúster de base de datos y, a continuación, reinicie el clúster, como se muestra a continuación.
```
PROMPT> aws rds modify-db-cluster --db-cluster-identifier my-cluster --db-cluster-parameter-group-name AllowAWSAccess
PROMPT> aws rds reboot-db-instance --db-instance-identifier my-cluster-primary
```
Una vez reiniciada la instancia, los roles de IAM están asociados al clúster de base de datos.
Para obtener más información acerca de los grupos de parámetros de clúster, consulte [Parámetros de configuración de Aurora MySQL](AuroraMySQL.Reference.ParameterGroups.md).